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内 容 简 介 


本 书 由 两 个 知识 板块 构成 : 网 络 协议 原理 和 网 络 安全 原理 。 两 者 有 一 定 的 相互 独立 性 ,可 以 分 为 两 门 课 
程 讲授 或 学 习 , 同 时 也 存在 较 强 的 关联 性 ,贯穿 起 来 学 习 更 有 助 于 全 面 掌握 网 络 技术 , 英 定 扎实 的 理论 基础 。 

网 络 协议 原理 部 分 的 重点 是 Internet 技术 ,其 次 包括 Ethernet、WLAN、 自 组 网 (Ad-hoc) ,宽带 网 络 和 
移动 通信 网络 等 重要 的 网 络 类 型 及 其 技术 。 从 计算 机 网 络 OSI 原理 出 发 ,具体 剖析 了 各 种 网 络 协议 ,网络 
体系 结构 、 路 由 算法 和 多 媒体 信息 编码 算法 。 此 外 ,还 分 析 了 物 联网 、 云 计算 ,移动 计算 等 新 技术 的 基本 概 
念 ,技术 原理 和 发 展 趋势 。 

在 网 络 安全 原理 部 分 ,逐一 详解 了 古典 加 密 算法 、 对 称 密 钥 加 密 算法 、 非 对 称 密 钥 加 密 算法 和 单 向 函 
数 加 密 算法 以 及 以 密码 学 理论 为 基础 形成 的 数字 签名 技术 、 网 络 安全 协议 和 密 钥 管 理 方法 ,并 通过 对 网 络 
安全 威胁 技术 的 具体 分 析 , 详 细 讨 论 了 网 络 安 全 防范 的 技术 和 体系 。 

本 书 作为 适合 高 等 院 校 计算 机 、 网 络 .通信 、 信 息 等 相关 专业 学 科 的 研究 生 和 本 科 生 教材 ,也 可 作为 其 
他 专业 学 生 的 选修 、 自 学 的 参考 材料 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举 报 电话 : 010-62782989 13701121933 
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INTRODUCTION 


出 版 说 明 


随 着 国家 信息 化 步伐 的 加 快 和 高 等 教育 规模 的 扩大 ,社会 对 计算 机 专业 
人 才 的 需求 不 仅 体 现在 数量 的 增加 上 ,而 且 体 现在 质量 要 求 的 提高 上 ,培养 
具有 研究 和 实践 能 力 的 高 层次 的 计算 机 专业 人 才 已 成 为 许多 重点 大 学 计算 
机 专业 教育 的 主要 目标 。 目 前 ,我 国共 有 16 个 国家 重点 学 科 、20 个 博士 点 一 
级 学 科 、28 个 博士 点 二 级 学 科 集 中 在 教育 部 部 属 重点 大 学 ,这 些 高 校 在 计算 
机 教学 和 科研 方面 具有 一 定 优势 ,并 且 大 多 以 国际 著名 大 学 计算 机 教育 为 参 
照 系 ,具有 系统 完善 的 教学 课程 体系 、 教 学 实验 体系 、 教 学 质量 保证 体系 和 人 
才 培 养 评估 体系 等 综合 体系 ,形成 了 培养 一 流 人 才 的 教学 和 科研 环境 。 

重点 大 学 计算 机 学 科 的 教学 与 科研 氛围 是 培养 一 流 计 算 机 人 才 的 基 
础 ,其 中 专业 教材 的 使 用 和 建设 则 是 这 种 氛围 的 重要 组 成 部 分 ,一 批 具 有 
学 科 方 向 特色 优势 的 计算 机 专业 教材 作为 各 重点 大 学 的 重点 建设 项 目 成 
果 得 到 肯定 。 为 了 展示 和 发 扬 各 重点 大 学 在 计算 机 专业 教育 上 的 优势 , 特 
别 是 专业 教材 建设 上 的 优势 ,同时 配合 各 重点 大 学 的 计算 机 学 科 建 设 和 专 
业 课 程 教学 需要 ,在 教育 部 相关 教学 指导 委员 会 专家 的 建议 和 各 重点 大 学 
的 大 力 支持 下 ,清华 大 学 出 版 社 规 划 并 出 版 本 系列 教材 。 本 系列 教材 的 建 
设 旨 在 “汇聚 学 科 精 英 、 引 领 学 科 建 设 、 培 育 专业 英才 ”, 同 时 以 教材 示范 各 
重点 大 学 的 优秀 教学 理念 ,教学 方法 、 教 学 手段 和 教学 内 容 等 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基本 组 织 原 则 和 特点 。 

(1) 面向 学 科 发 展 的 前 沿 , 适 应 当前 社会 对 计算 机 专业 高 级 人 才 的 培养 
需求 。 教 材 内 容 以 基本 理论 为 基础 ,反映 基本 理论 和 原理 的 综合 应 用 ,重视 
实践 和 应 用 环节 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 能 适应 多 样 化 的 教学 需要 , 正 
确 把 握 教学 内 容 和 课程 体系 的 改革 方向 。 在 选择 教材 内 容 和 编写 体系 时 注 
意 体现 素质 教育 、 创 新 能 力 与 实践 能 力 的 培养 ,为 学 生 知识 、 能 力 、 素 质 协调 
发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 ,保证 质量 。 规 划 教材 建设 的 重点 依然 是 专 
业 基 础 课 和 专业 主干 课 ; 特别 注意 选择 并 安排 了 一 部 分 原来 基础 比较 好 的 优 
秀 教材 或 讲义 修订 再 版 ,逐步 形成 精品 教材 ; 提倡 并 鼓励 编写 体现 重点 大 学 
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计算 机 专业 教学 内 容 和 课程 体系 改革 成 果 的 教材 。 

(4) 主张 一 纲 多 本 ,合理 配套 。 专 业 基础 课 和 专业 主干 课 教材 要 配套 ,同一 门 课程 可 以 
有 多 本 具有 不 同 内 容 特 点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 的 关系 ; 基本 教材 与 辅助 教 
材 以 及 教学 参考 书 的 关系 ; 文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制订 教材 规划 时 要 依靠 各 课程 专家 在 调查 研究 本 课程 教 
材 建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申报 、 评 审 
确定 主编 。 书 稿 完 成 后 要 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 


教材 编 委 会 
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信安 山 有 石室 , 王 质 入 其 室 , 见 二 童子 对 弈 ,看 之 。 局 未 终 , 视 其 所 执 伐 
薪 柯 已 烂 朽 , 遂 归 , 乡 里 已 非 疾 。 
一 一 东晋 穆 帝 永和 年 间 ( 公 元 345 年 ) 度 喜 作 《 志 林 》 


从 2007 年 本 书 的 第 1 版 到 2012 年 的 第 2 版 ,时 间 悄 悄 地 过 去 了 5 年 。5 
年 不 算 久 ,弹指 一 挥 间 , 够 一 名 学 子 读 完 大 学 。 但 网 络 这 个 虚拟 世界 或 许 有 
自己 的 历法 , 颇 有 “ 洞 中方 七 日 ,世上 已 千年 ”的 “仙界 ”之 风 , 只 不 过 颠倒 过 
来 ,日 子 过 得 飞快 ,现实 世界 的 5 年 ,互联 网 恰似 飞越 了 50 年 ,否则 无 法 解释 
为 何 短 时间 内 会 冒 出 那么 多 新 技术 ,产生 那么 巨大 的 变化 。 

比 起 那 位 在 山中 看 仙 童 下 棋 的 樵 夫 ,我 们 不 知道 是 幸 或 不 幸 。 可 怜 的 砍 
柴 大 哥 仅仅 偶发 雅 兴 , 旁 观 了 一 盘 棋 ,结果 连 傣 柄 都 配 烂 了 ,自己 的 家 和 村 子 
竟然 物 非 人 亦 非 。 而 我 们 5 年 前 的 PC 和 手机 呢 ? 朽 烂 倒 未 必 , 可 是 十 有 八 九 
已 被 我 们 自己 视 为 “破烂 ”, 不 少 人 的 手机 也 许 已 经 换 了 几 部 。 

当然 可 以 坚持 不 换 老 的 PC, 但 用 PC 上 网 意味 着 必须 端 端正 正 地 坐 在 桌 
子 前 ,不 像 用 平板 计算 机 一 样 自由 自在 ,不 能 走 着 看 新 闻 , 躺 着 看 视频 ,或 在 
地 铁 里 悠闲 地 边 听 音乐 边 读书 , 用 PC 还 意味 着 只 能 老 老 实 实 地 用 鼠标 点 击 ， 
而 无 法 划 拉 、 抓 挠 屏幕 ,与 蔬菜 .小 鸟 和 怪兽 作 斗 争 。 假 如 依依 不 舍 ,钟爱 多 
年 的 老手 机 也 不 一 定 换 。 但 如 今 ,堂堂 的 嵌入 式 操作 系统 居然 被 打上 了”* 非 
智能 ”的 标签 ,成 为 “低能 一族, 举目 皆 是 多 点 触 控 的 大 屏 智 能 机 ,桌面 上 各 
式 各 样 的 App( 应 用 程序 ) 浮 动 着 ,竞相 争宠 。 你 实现 3 上 网 ,我 就 有 WiFi 热 
点 互联 ; 你 可 以 GPS( 全 球 定位 系统 ) 导 航 , 我 就 提供 LBS( 位 置 相关 服务 ) 业 
务 。 因 此 ,PC 和 手机 换 与 不 换 , 这 是 一 个 问题 。 

这 一 切 主要 是 拜 乔 布 斯 所 赐 。 他 的 苹果 既 不 是 来 自 亚当 和 夏娃 的 伊 甸 
司 ,也 不 是 摘自 牛顿 头 上 的 革 果 树 , 而 是 被 图 林 ( 计 算 机 与 人 工 智 能 之 父 ) 咬 
过 的 那 一 颗 , 半 个 多 世纪 后 ,完全 退去 了 毒性 , 剩 下 的 只 有 烟 烟 闪光 的 智慧 、 
创新 和 维生素 。 刚 刚 过 去 的 5 年 , 打 着 苹果 标志 的 平板 计算 机 和 手机 覆盖 了 
全 球 , 更 重要 的 是 这 些 漂亮 非凡 .人 见 人 爱 的 “尤物 ?改变 了 人 们 对 计算 机 的 
认 知 改变 了 一 成 不 变 的 计算 机 操作 习惯 ,让 上 网 变 成 一 种 令 人 愉悦 的 旅程 
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让 获取 信息 像 呼 吸 一 样 简单 和 自然 ,让 地 球 上 的 任意 两 个 人 的 沟通 仿佛 面对面 。 


所 以 ,我 们 有 理由 相信 , 庶 拟 世界 的 时 空 超越 了 爱 因 斯 坦 的 学 说 ,时 钟 走 得 飞快 ,日 子 变 


得 很 短 ,距离 趋 近 于 零 ,而 虚拟 世界 的 演进 速度 则 超过 了 达尔 文 的 想象 ,甚至 智能 “生物 ”的 


诞生 也 并 非 痴人说梦 ,或 许 为 期 不 远 了 。 


5 年 来 ,山洞 中 的 棋局 大 概 还 没 走出 一 步 ,恰似 IPv4 协议 依旧 ,Internet 仍然 不 安全 ， 


到 


足 还 是 没 出 线 ,但 尘世 间 一 直 不 可 遏止 地 忙碌 着 ,不 论 是 现实 世界 还 是 虚拟 世界 ,沧海 总 


si 
碟 


或 快 或 慢 地 往 桑 田 方向 变 。 想 想 云 计算 , 想 想 物 联网 吧 , 早 上 晴空 万 里 ,下 午 就 “云雾 ” 统 绕 


了 。 闲 不 住 的 乔布斯 驾 鹤 西 去 后 肯定 会 带 去 人 类 的 进取 精神 ,这 样 仙 童 下 棋 的 石 桌 就 有 
会 支持 滑 屏 了 。 
祝 大 家 享受 知识 ,也 享受 知识 创造 的 成 果 。 


编 者 
2012 年 4 月 于 复旦 大 学 
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图 关于 观点 

我 们 不 要 悍 怕 亮 出 自己 的 观点 一 一 即使 有 失 偏 颇 也 可 供 大 家 评判 、 批 
评 争论. 思考、 品味。 客观 的 数据 是 必要 的 ,枯燥 的 理论 是 难免 的 ,但 最 终 还 
是 要 有 观点 和 结论 ,这 关系 到 立场 问题 。 

在 本 书 中 可 以 找到 许多 观点 ,谦虚 地 说 ,它们 不 一 定 都 是 正确 的 。 影 响 
正确 性 判断 的 原因 有 三 : 一 是 认识 有 偏颇 ; 二 是 事物 在 发 展 ,丑小鸭 长 啊 长 ， 
说 不 定 是 只 白天 笋 呢 ! 三 是 有 更 多 更 好 的 事物 在 孕育 中 .诞生 中 。 这 正 是 计 
算 机 网 络 领域 的 特点 : 朝气 蓬勃 ,欣欣 向 荣 , 这 也 是 研究 计算 机 网 络 的 乐趣 所 
在 : 推陈出新 ,创意 无 限 ,不 过 这 也 是 置身 计算 机 网 络 行业 的 辛苦 所 在 : 三 日 
不 见 , 形 同 陌路 ! 

理解 是 观点 的 起 步 ,观点 是 理解 的 体现 。 理 解 了 ,有 观点 了 ,往往 就 成 功 
了 一 半 。 


国 关于 情感 

为 什么 大 数学 家 说 在 天 书 般 的 方程 式 堆 中 漫游 是 妙 不 可 言 . 富 有 乐趣 
的 ? 那 就 是 情感 。 固 然 他 们 到 达 了 某 种 常人 无 法 企及 的 境界 ,但 不 可 否认 ， 
任何 事物 都 是 可 以 有 情感 的 ,不 管 这 种 情感 是 其 自身 所 具备 的 ,还 是 感怀 的 
人 所 赋予 的 。 

所 以 我 们 可 以 大 胆 地 说 ,技术 文献 是 有 情感 的 ,论文 讲义 是 有 情感 的 , 计 
算 机 网 络 也 是 有 情感 的 。 

计算 机 网 络 本 来 就 是 很 拟人 化 的 东西 ,人 类 逐渐 在 互联 网 上 构筑 起 一 个 
虚拟 世界 。 这 是 一 个 多 么 富有 想象 力 的 全 人 类 共同 参与 的 大 工程 ! 所 以 ,本 
书 读者 们 在 阅读 到 那些 看 上 去 和 计算 机 网 络 术 语 、 技 术 无 关 的 文字 时 ,请 不 
要 忽略 ,相信 我 ,它们 是 属于 计算 机 网 络 领域 的 。 


国 关于 角度 
但 凡 足 球 运动 员 用 大 家 认为 不 可 思议 的 角度 射 入 一 个 球 时 ,都 会 得 到 暴 
风雨 般 的 喝彩 ,因为 这 个 球 与 众 不 同 , 因 为 把 自己 从 展 展 欲 睡 的 比赛 过 程 中 


可 
络 协议 与 网 络 安全 (第 2 版 ) 


弄 醒 了 。 没 有 统计 过 ,不 知道 有 多 少 人 在 阅读 技术 文章 时 处 于 半 清 醒 状态 ,我 想 应 该 不 在 少 
数 ,因为 不 客气 地 说 ,大 部 分 的 教科 书 都 很 教科 书 , 有 千篇一律 的 公式 和 行文 ,有 从 基础 到 深 
入 的 严密 逻辑 。 
然而 我 不 认为 这 有 什么 可 取 的 ,或 者 说 不 认为 一 定 非 得 这 样 。 花 开 两 休 还 各 有 不 同 呢 ! 

本 书 抓 的 一 个 个 的 点 并 不 全 落 在 “网 ”的 “ 纲 ” 上 ,但 希望 抓 起 这 些 点 能 有 一 些 “ 目 ”能 够 张 开 ， 
点 及 面 , 宇 一 斑 知 全 豹 , 也 是 一 个 了 解 “ 全 网 ”的 不 容易 睡 着 的 方法 。 

本 书 的 每 一 个 章节 都 试图 去 了 解 一 个 或 大 或 小 的 问题 ,并 扩展 到 周围 的 问题 。 我 们 比 
较 多 地 采用 "比较 性 分 析 ” 的 办 法 ,通过 对 比 来 加 深 概 念 和 技术 方法 的 理解 。 不 过 是 否 能 达 
到 预期 效果 一 一 还 得 靠 读者 自己 琢磨 ! 


图 关于 细节 

有 人 说 “细节 决定 成 败 ”, 那 大 概 是 在 说 装配 钟表 吧 。 回 想 童 年 , 你 还 记得 多 少 细 
节 ? 无 非 是 和 谁 闹 别 扭 了 ,后 来 又 要 好 了 等 等 ,至 于 为 什么 事情 吵架 多 半 已 经 不 记得 了 。 
不 要 慌张 ,不 是 健忘 , 那 是 人 脑 的 优秀 性 能 之 一 : 忘记 不 必要 的 东西 。 那 样 你 才 没有 崩溃 。 

计算 机 网 络 中 也 有 很 多 细节 ,它们 是 由 许 许多 多 数字 、 字 母 构 成 的 ,足够 把 人 弄 疯 。 所 以 ， 
我 们 最 好 要 学 会 什么 时 候 要 关注 细节 ( 当 少 尉 排 长 ) ,什么 时 候 要 看 重 全 局 ( 当 五 星 将 军 )。 

普天 下 阐述 技术 细节 的 书 已 经 够 多 了 ,所 以 本 书 不 打算 凑 这 个 热闹 。 而 当 我 们 把 一 些 
所 谓 的 细节 屏蔽 掉 之 后 ,我 们 往往 会 发 现 技 术 的 核心 思想 显露 出 来 了 。 至 于 细节 ,很 简单 ， 
我 们 可 以 检索 有 关 资 料 来 获取 。 


国 关于 本 教材 

本 教材 可 作为 本 科 生 、 研 究 生 课程 教学 用 书 或 参考 书 。 

虽然 涉及 “网 络 协议 ”, 但 并 非 以 单纯 的 网 络 协议 原理 为 首要 内 容 , 而 是 从 较为 宏观 

的 网 络 与 通信 技术 的 角度 来 体现 较为 微观 的 协议 技术 , 旨 在 从 网 络 理解 协议 、 从 协 

议 透 视 网 络 。 

。 每 章 为 一 个 大 的 知识 点 ,阐述 一 个 网 络 及 其 安全 技术 的 “板块 ”; 每 个 板块 由 若干 小 
的 知识 点 构成 。 各 板块 间 的 内 容 略 有 交叉 重叠 ,反映 出 网 络 通 信和 领域 各 项 关键 技术 

的 关联 性 ,因此 , 既 要 对 各 个 “分 支 " 进 行 深入 钻研 ,又 要 有 全 局 的 、 整 体 的 观念 。 

。 每 章 学 习 约 需 一 两 个 “单元 时 间 ”( 每 单元 时 间 为 两 三 课时 )。 

。 由 于 涉及 的 概念 .术语 较 多 ,这 个 “基础 " 打 得 不 会 很 轻松 ,但 会 从 知识 面 拓展 上 有 所 获 益 。 

。 希望 在 学 习 过 程 中 不 要 仅仅 局 限于 书本 内 容 , 而 应 该 主动 去 学 习 更 多 的 相关 知识 ， 

对 感 兴趣 的 问题 予以 纵深 挖掘 。 这 里 包含 两 层 意 思 : 第 一 ,鼓励 借助 计算 机 、 互 联 

网 进行 学 习 , 而 不 要 停留 在 书本 涵盖 的 有 限 知识 上 ; 第 二 ,把 对 理论 的 理性 认识 应 

用 于 实践 中 ,获得 感性 认识 ,达到 融会 贯通 的 目的 。 

。 勤 于 思考 ,不 迷信 “权威 ”。 对 “可 疑 ”观点 应 勇敢 地 提出 质疑 和 自己 的 见解 。 同 时 也 

要 善于 发 现 问题 .提出 问题 ,并 提高 分 析 问 题 .解决 问题 的 能 力 。 

。 因为 网 络 技术 的 发 展 速度 很 快 ,本 教材 也 将 不 断 更 新 ,力争 与 本 领域 的 新 进展 同步 。 


作 者 
2007 年 6 月 于 复旦 大 学 
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计算 机 网 络 与 协议 第 1 章 


网 络 在 自然 界 广 泛 存在 ,例如 ,由 江河 湖 海 构 成 的 水 系 , 蜂 蛛 辛勤 编织 的 
捕食 网 。 网 络 在 人 类 社会 里 更 是 无 处 不 在 ,简单 到 渔家 的 渔网 .猎人 的 捕 兽 
网 ,复杂 到 遍布 城市 和 乡村 的 道路 网 、 输 电网 、 输 气 网 、 自 来 水 管 网 .下 水 道 
网 , 帮 至 错综复杂 的 人 际 关系 网 .国际 关系 网 . 朴 而 不 漏 的 法 网 。 网 络 无 疑 是 
人 类 赖 以 生存 的 重要 手段 之 一 。 

网 络 体现 了 人 类 的 大 智慧 。 通 过 组 网 ,可 以 建立 相互 间 的 联系 ,可 以 远 
程 输送 资源 ,可 以 实现 1 十 1 二 2 的 集聚 和 放大 效应 。 

网 络 的 关键 是 通过 经 纬 脉 络 组 成 某 种 结构 ,进而 产生 特定 功效 。 因 此 ， 
由 空洞 起 作用 的 筛子 不 能 算是 网 络 ,而 同样 被 编织 成 网 形 的 渔网 则 是 一 种 
网 络 。 

英语 中 有 许多 词汇 指 代 网 络 ,除了 Network 和 Net, 还 有 Grid、Web、 
Matrix、Mesh 等 ,含义 上 有 细微 的 差别 ,在 网 络 技术 术语 中 经 常会 出 现 。 

网 络 造就 了 我 们 身 处 的 信息 时 代 , 并 被 赋予 了 更 为 丰富 的 内 涵 。 电 话 
网 .广播 电视 网 计算机 网 ,满足 了 人 们 及 时 掌握 信息 ,方便 沟通 交流 、 实 现 资 
源 共享 的 需要 ,于 是 , 越 来 越 多 的 人 不 知 不 觉 中 对 网 络 有 了 严重 的 、 几 乎 不 可 
逆转 的 依赖 性 ,因为 网 络 已 经 深入 到 了 学 习 、 工 作 和 日 常生 活 的 方方面面 。 
且 不 论 这 种 依赖 性 本 身 训 是 熟 非 , 网 络 给 人 们 带 来 的 高 效 性 、 便 捷 化 、 无 疆界 
是 有 目 共 睹 的 。 仅 和 赁 这 一 点 ,网 络 无 疑 担 当 了 这 个 时 代 当 仁 不 让 的 主角 。 

人 们 平时 说 的 “网 络 ” ,通常 就 是 指 计算 机 网 络 ,甚至 就 是 指 Internet。 这 
个 现象 很 令 人 深思 ,但 并 不 费解 。 原 因 在 于 计算 机 和 计算 机 网 络 引 发 了 测 涌 
澎 涯 的 数字 化 浪潮 ,不 仅 把 传统 的 模拟 网 络 逐 一 纳入 怀 中 成 为 数字 网 络 ,而 
且 通 过 替代 或 融合 ,把 各 种 类 型 的 计算 机 网 络 逐 步 统一 为 Internet。 或 许 有 
人 会 争论 Internet 一 家 独 大 的 局 面 是 否 存在 次 端 的 问题 ,但 越 来 越 多 的 人 开 
始 或 已 经 习惯 于 上 网 搜 信息 、 发 言论 、 找 朋友 、 买 商品 , 谁 会 希望 倒退 到 没有 
Internet 的 年 代 ? 计算 机 网 络 和 Internet 正 是 本 书 的 重点 。 

1946 年 ,第 一 台 计 算 机 问世 ; 1969 年 ,计算 机 网 络 诞生 。 计 算 机 具备 与 
生 俱 来 的 运算 能 力 , 可 以 让 人 摆脱 烦琐 的 计算 任务 ,让 运算 速度 得 到 以 数量 
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级 计 的 提高 。 计 算 机 除了 能 够 解决 数学 问题 ,还 能 够 记录 和 处 理 文字 、 图 像 等 各 类 信息 ,并 
可 开发 出 分 析 、 推 断 能 力 , 为 创立 人 类 大 脑 以 外 的 第 二 种 “智能 体 " 奠 定 了 扎实 的 基础 .开辟 
出 巨大 的 想象 空间 。 没 有 计算 机 ,当然 就 没有 计算 机 网 络 ; 但 是 反 过 来 ,没有 计算 机 网 络 ， 
计算 机 的 发 展 也 会 受到 极 大 的 制约 。 一 台 孤 立 的 计算 机 能 完成 的 任务 是 相当 有 限 的 ,并 且 
无 法 实现 硬件 .软件 .信息 资源 共享 而 使 价值 最 大 化 。 短 短 几 十 年 间 , 计 算 机 从 价格 昂贵 的 
庞然大物 ,到 人 们 口袋 中 的 随身 物品 ,而且 可 以 随时 联网 , 正 是 计算 机 和 计算 机 网 络 技术 相 
互 促进 .共同 发 展 的 结果 。 我 们 乐 见 这 样 的 结果 ,而且 希望 不 久 的 将 来 就 会 实现 无 处 不 在 的 
普 适 计算 和 无 须 刻 意 为 之 的 自然 计算 。 

计算 机 网 络 (Computer Network) 就 是 计算 机 设备 通过 物理 媒介 和 通信 协议 的 互 连 构 
成 的 信息 传输 系统 。 

计算 机 设备 可 以 是 主机 、 服 务 器 \ 个 人 计算 机 、 智 能 手机 、 交 换 机 、 路 由 器 、 网 关 等 任意 一 
种 终端 或 联网 设施 ; 物理 媒介 可 以 是 有 线 或 无 线 信道 ; 通信 协议 (protocol) 则 是 计算 机 设 
备 间 相互 对 话 的 特定 机 制 ,实现 信息 的 无 差错 传输 。 


1.1 计算 机 网 络 分 类 


网 络 技术 类 型 众多 。 从 不 同 的 角度 ,可 以 把 网 络 划 分 为 不 同类 别 。 

本 书 主要 考察 以 信息 传输 为 目的 的 网 络 , 但 不 妨 把 过 于 古老 的 通信 方式 排除 在 外 ,如 烽 
火 台 ,信和 铝 \、 驿 站 、 邮 政信 箱 等 。 这 样 ,网 络 大 致 可 分 为 模拟 网 络 和 数字 网 络 两 种 类 型 。 前 者 
采用 模拟 传输 技术 ,包括 传统 的 电报 网 .电话 网 .广播 (电台 ) 网 .电视 网 ,一 般 存在 信道 容量 
小 、 传 输 质量 差 . 抗 干扰 能 力 弱 .安全 性 低 等 问题 ; 后 者 采用 数字 传输 技术 ,包括 计算 机 网 
络 .数字 电视 网 ,数字 广播 网 .网络 电 话 、 卫 星 网 ,其 共同 点 是 能 够 传输 数字 化 的 多 媒体 信息 ， 
具备 高 效率 ,高 可 靠 的 特点 ,而且 具有 很 强 的 扩展 潜力 ,可 以 支持 双向 互动 和 个 性 访问 ,是 网 
络 技术 的 发 展 方向 。 新 一 代 的 电话 网 有线 电 视 网 实际 上 都 采用 了 计算 机 网 络 技术 ,为 实现 
“三 网 融合 " 扫 清 了 技术 障碍 。 

可 见 ,数字 化 是 信息 传输 技术 的 分 水 岭 。 例 如 ,第 一 代 移 动 电话 系统 属于 模拟 网 络 ,从 
第 二 代 开 始 ,就 进化 为 数字 网 络 。 而 数字 传输 技术 的 起 源 和 制高点 都 属于 计算 机 网 络 ,可 以 
说 ,掌握 了 计算 机 网 络 技术 ,就 不 难 理解 其 他 数字 网 络 技术 了 。 在 讨论 计算 机 网 络 的 技术 细 
节 之 前 ,不 妨 先 从 其 不 同类 型 人 手 , 了 解 计算 机 网 络 的 概貌 。 

计算 机 网 络 可 以 依据 其 各 种 属性 进行 如 下 分 类 。 

(1) 按 通信 媒介 分 为 有 线 网 络 ,无线 网 络 。 移 动 电话 网 .卫星 网 也 属于 无 线 网 络 范畴 ， 
但 需要 注意 的 是 ,无 线 网 络 并 非 必 须 完全 由 无 线 信道 组 成 。 

(2) 按 覆盖 范围 分 为 广域网 (Wide Area Network,.WAN)( 履 盖 国 家 到 全 球 ) 、 城 域 网 
(Metro-politan Area Network,MAN) (通常 覆 盖 一 个 城市 )、 局 域 网 (Local Area Network， 
LAN)( 可 以 覆盖 小 到 家 庭 大 到 校园 的 范围 ) 个 域 网 (Personal Area Network,PAN) (主要 
指 桌 面 或 人 体 的 覆盖 )。 不 同 的 网 络 覆 盖 范 围 没 有 严格 的 界限 ,相互 间 可 以 交叉 重 伙 。 

(3) 按 拓扑 结构 (如 图 1. 1 所 示 ) .分 为 线 型 (包括 总 线 型 和 串联 型 )、 环 型 . 星 型 、. 树 型 和 
网 型 。 不 同 拓扑 结构 的 网 络 不 仅 是 互联 形式 上 的 差异 ,性 能 上 也 可 能 存在 很 大 差别 。 例 如 ， 
线 型 网 络 存在 单 点 故障 ,而 与 之 近似 的 环 型 网 络 就 不 存在 单 点 故障 ; 星 型 网 络 可 以 转化 为 
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两 层 结 构 的 树 型 网 络 ; 星 型 网 络 比 较 适 合 于 构造 卫星 网 , 树 型 网 络 则 常用 于 层次 性 管理 体 
系 。 此 外 ,在 给 定 的 物理 拓扑 结构 上 ,可 以 通过 协议 控制 ,形成 不 同 的 逻辑 拓扑 结构 。 


树 型 网 型 
图 1.1 网 络 拓扑 结构 分 类 图 示 


1.2 开放 系统 互 连 模型 


1.2.1 网 络 协议 标准 化 


研究 计算 机 网 络 , 应 从 其 开放 性 (opening) 的 本 质 人 手 。 

倘若 听任 计算 机 网 络 技术 自由 发 挥 而 不 加 以 约束 ,势必 会 造成 各 自 为 政 的 不 利 局 面 ,与 
计算 机 网 络 互 联 互通 的 本 意 背 道 而 驰 , 因 为 封闭 的 .相互 隔离 的 网 络 是 没有 太 大 实际 意义 
的 。 对 于 采用 不 同 技术 的 网 络 , 即 使 想 要 实现 网 络 互 联 互 通 ,代价 也 会 非常 高 昂 。 所 以 , 计 
算 机 网 络 技术 的 开放 性 十 分 必要 ,而 网 络 技术 的 标准 化 工作 是 保障 其 开放 性 的 关键 手段 
之 一 。 

由 于 网 络 技术 具有 很 强 的 全 局 性 ,因此 网 络 领 域 更 注重 国际 标准 的 制订 ,以 便 被 全 球 各 
国 普遍 采纳 ,有 利于 网 络 互联 的 实现 。 

在 网 络 技术 文献 中 ,我们 时 常会 为 应 该 使 用 * 互 连 ? 还 是 “互联 ?犯难 。 实 际 上 ,对 应 英语 
单词 都 是 Interconnection ,两 者 意思 大 致 相同 ,但 互 连 倾向 于 描述 物理 上 的 连接 关系 ,互联 
则 侧重 逻辑 上 的 联系 ,因此 ,网 络 设备 之 间或 网 际 的 通信 更 适合 用 “ 互 连 ” 一 词 来 表达 。 

计算 机 网 络 的 标准 化 与 “消灭 诸侯 ,统一 国家 ”完全 不 同 。 假 如 把 OSI( 开 放 系 统 互 连 ) 
参考 模型 理解 为 网 络 技术 世界 的 宪法 ,其 他 技术 标准 理解 为 法 律 、 法 规 ,那么 ,在 OSI 框架 
指导 下 ,就 可 以 衍生 出 不 同 的 协议 和 技术 ,并 制订 相应 的 标准 。 
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考察 网 络 协议 的 标准 化 进程 ,可 以 发 现 , 大 部 分 的 网 络 协议 都 是 先 有 实践 .再 有 标准 。 
通过 实际 检验 后 证 明 比 较 成 熟 的 技术 ,标准 化 组 织 就 会 “ 拿 过 来 ”进行 完善 ,使 其 上 升 为 通行 
的 标准 (或 建议 ) ,为 所 有 开发 者 所 遵守 。 此 外 ,有 许多 国际 标准 的 形成 是 参照 了 多 种 企业 标 
准 或 结合 了 不 同 区 域 性 标准 化 组 织 制定 的 标准 。 

OSI 技 术 的 开放 性 意味 着 : 

(1) 所 有 技术 要 求 和 细节 都 是 公开 发 布 的 ,任何 人 都 有 权 获 取 并 参照 实现 ; 

(2) 研究 者 和 开发 者 都 可 提供 自己 的 创意 ,改进 方法 ,其 建议 有 可 能 被 标准 化 组 织 采 
纳 , 用 于 完善 标准 ; 

(3) 符合 技术 标准 的 系统 可 以 接 入 已 有 系统 。 

正 是 由 于 计算 机 网 络 具 有 开放 性 ,因此 从 这 个 意义 上 说 ,Internet 一 网 独 大 其 实 并 没有 
那么 可 怕 。Internet 技术 标准 可 以 为 任何 人 所 用 ,用 于 研发 产品 ,不 存在 知识 产权 壁垒 ,不 
会 形成 技术 垄断 。 

网 络 领域 的 技术 标准 主要 由 以 下 几 个 标准 化 组 织 负责 研究 和 制订 。 

国际 标准 化 组 织 (International Organization for Standardization,ISO) ,成 立 于 1947 年 
2 月 23 日 ,其 成 员 由 来 自 世界 上 100 多 个 国家 的 国家 级 标准 化 团体 组 成 。ISO 一 词 来 源 于 
希腊 语 , 意 为 相同 .平等 ,与 标准 化 的 目的 和 内 涵 非 常 吻合 。 

国际 电工 委员 会 (International Electrotechnical Commission ,IEC) ,成 立 于 1906 年 ,于 
1947 年 并 人 ISO。 原 美国 标准 ASCII 字 符 集 的 定义 , 即 由 ISO 和 IEC 共同 制订 为 国际 通用 
标准 ,标准 号 为 ISO/IEC 646 。 

国际 电信 联盟 (International Telecommunications Union,ITU) ,是 联合 国 的 一 个 专门 
机 构 ,设立 于 1865 年 ,致力 于 制定 国际 电信 标准 。ITU 由 三 部 分 组 成 : ITU-R 负责 无 线 通 
信 ( 在 世界 范围 分 配 无 线 频率 ); ITU- 工 负责 制定 电信 标准 ,1956 一 1993 年 称 为 国际 电报 电 
话 咨询 委员 会 (Consultative Committee for International Telegraph and Telephone， 
CCITT), 下 设 多 个 研究 组 (SG) ,研究 组 下 设 不 同 专题 ,例如 Q42/SG VII 专门 研究 OSI 参 
考 模型 ; ITU-D 负责 开发 事务 。 

电气 和 电子 工程 师 协会 (Institute of Electrical and Electronics Engineers,IEEE) ,于 
1963 年 1 月 1 日 由 美国 无 线 电工 程 师 协会 (IRE,1912 年 成 立 ) 和 美国 电气 工程 师 协 会 
(AIEE,1884 年 成 立 ) 合 并 而 成 , 设 37 个 专业 分 会 (society) 和 3 个 联合 会 (council) ,下 设 
380 多 个 学 组 (chapter) 。 在 其 制订 的 标准 中 ,IEEE 802 为 局 域 网 和 城 域 网 系列 标准 ,IEEE 
802. 11 为 无 线 网 络 系列 标准 。 

IETF(Internet Engineering Task Force) ,从 属于 Internet 体系 结构 委员 会 (Internet 
Architecture Board,IAB) ,创建 于 1992 年 6 月 ,是 一 个 开放 的 国际 标准 化 组 织 , 由 网 络 组 织 
者 、 运 营 者 、 研 究 组 、 制 造 商 、 开 发 者 组 成 ,专门 负责 研究 有 关 Internet 的 协议 及 其 标准 ,以 
RFC(Requests For Comments) 文 件 形式 发 布 ,例如 IP 由 RFC 791 规定 。 

不 应 该 把 国际 标准 理解 为 强势 和 强硬 的 死 规 定 ,实际 上 ,技术 和 产品 的 研发 者 在 遵循 技 
术 标 准 的 大 原则 下 ,可 以 根据 自身 需要 进行 灵活 的 有 针对 性 的 调整 ,如 分 层 模 型 的 改变 ( 参 
见 TCP/IP 分 层 结 构 )、 层 结构 的 改变 (如 子 层 ,交叉 层 )、 协 议 补 丁 \ 不 同 版 本 的 网 络 协议 标 
准 , 也 允许 存在 网 络 协议 实现 上 的 不 同 ,如 选择 实现 不 同 的 功能 子 集 、 采 用 不 同 的 选项 
(options) 、 自 定义 字段 .各 种 配置 参数 等 。 


nl 
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因此 ,即便 参照 了 同一 个 国际 标准 ,由 于 可 能 存在 以 上 差异 ,两 者 仍然 有 可 能 无 法 完成 
互 连 。 协 议 一 致 性 测试 (Protocol Conformance Testing,PCT) 工 作 可 以 有 助 于 不 同系 统 的 
互 连 , 然 而 ,PCT 既 非 网 络 互 连 的 充分 条 件 ,也 非 必 要 条 件 。 

另外 ,考察 不 同 标准 化 组 织 的 历史 轨迹 和 工作 内 容 , 可 以 发 现 一 个 有 意思 的 现象 ,就 是 
在 技术 思想 和 方法 上 逐步 走向 融合 。 例 如 ,ITU 专注 于 电信 技术 ,IETF 的 专业 领域 是 
Internet, 如 今 , 电 信 网 络 要 向 下 一 代 网 络 (Next Generation Network,NGN) 发 展 ,Internet 
则 向 着 下 一 代 互 联网 (Next Generation Internet,NGDI) 发 展 ,两 者 都 采用 了 IPv6 协议 标准 ， 
并 重点 发 展 视频 .语音 等 多 媒体 通信 技术 。 换 言 之 ,ITU 需要 借助 Internet 的 数字 交换 平 
台 ,IETF 则 试图 拓展 电信 类 业务 、 提 供电 信和 级 服务 。 从 标准 制定 上 也 可 以 看 到 : ITU-T 
H. 248 与 IETF MGCP 标准 相似 ,都 是 媒体 网 关 控 制 协 议 ; ITU-T H. 323 与 IETF SIP 标 
准 类 似 ,都 是 会 话 发 起 协议 。 


1.2.2 OSI 模型 


早 在 1977 年 ,ISO 就 开始 着 手 计算 机 网 络 的 标准 化 工作 ,并 于 1984 年 颁布 了 开放 系统 
互 连 (Opening System Interconnection, OSIT) 基 本 参考 模型 (Basic Reference Model) ,简称 
OSI'ISO, 用 于 规范 网 络 的 体系 结构 、 通 信 协 议和 网 络 互 连 技 术 , 从 此 ,计算 机 网 络 进入 了 有 
序 的 发 展 阶段 。 

根据 OSI 基本 参考 模型 ,计算 机 网 络 中 的 计算 机 设备 被 划分 为 两 个 组 成 部 分 (如 图 1.2 
所 示 )。 

(1) 端 开放 系统 (End System), 即 计算 机 终端 (PC/ 便 携 电 脑 /智能 手机 )、 服 务 器 、 工 作 
站 .主机 等 ,位 于 网 络 的 边缘 ,供用 户 直接 操作 或 进行 访问 。 网 络 中 的 内 容 都 存放 在 端 开 放 
系统 中 。 

(2) 中 继 开放 系统 (Relay System), 即 交换 机 、 路 由 器 、 网 关 、 网 桥 、 代 理 、 接 入 服务 器 、 
基站 等 ,位 于 网 络 内 部 ,是 实现 网 络 联网 、 提 供 网 络 接 入 的 设备 。 


链 路 层 ir—= DL | DL DN DL| “|Data Link Layer 


| | 
Layer 1 (PH) 
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图 1.2 OSI 基本 参考 模型 
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端 开放 系统 是 数据 传输 的 发 起 者 (发 送 者 ) 或 接收 者 , 即 数据 源 (source) 或 宿 (destination)， 
是 用 户 数据 的 处 理 者 ,中 继 开 放 系 统 只 负责 数据 的 转发 工作 ,尽力 将 数据 送 达 指定 目的 地 ， 
并 不 关心 数据 内 容 。 因 此 ,我 们 通常 简单 化 地 把 中 继 开 放 系 统 和 传输 媒介 构成 的 体系 统称 
为 网 络 , 端 开放 系统 则 是 接 入 网 络 的 各 种 类 型 计算 机 设备 。 

我 们 习惯 于 把 中 继 开放 系统 设备 称 为 网 络 中 的 结 点 (node) 。 而 node 还 可 以 译 为 节点 ， 
意思 类 似 , 且 在 各 种 文献 中 两 者 都 有 使 用 。 但 鉴于 两 者 存在 微小 的 差别 ,在 本 书 中 将 统一 采 
用 “ 结 点 ”来 指 代 网 络 中 的 设备 ,而 用 “节点 ”表示 某 些 操 作 流程 及 树 状 结构 中 的 各 个 有 序 的 
步骤 和 环节 。 

传统 的 电话 网 OPOTS) 构 成 了 覆盖 全 球 的 庞大 网 络 体系 ,而 且 程控 电话 交换 机 的 核心 
就 是 计算 机 ,实现 电话 呼叫 管理 和 网 络 管理 的 信 令 系统 就 是 协议 ,早期 的 用 户 拨号 上 网 也 是 
通过 电话 网 ,但 是 ,传统 电话 网 却 不 属于 计算 机 网 络 。 主 要 原因 是 电话 网 终端 ( 即 电话 机 ) 并 
非 智 能 设备 ( 即 计算 机 设备 ) ,不 能 与 网 络 设备 (电话 交换 机 ) 实 现 对 等 的 协议 操作 ; 其 次 , 关 
键 业务 语音 通话 是 通过 物理 电路 转 接 实 现 的 ,采用 模拟 通信 方式 ,是 一 种 电路 交换 技术 。 


1.2.3 OSI 分 层 结构 


OSI 基本 参考 模型 (如 图 1. 2 所 示 ) 将 构成 计算 机 网 络 的 通信 实体 分 为 七 层 (7 layers)， 
层 与 层 之 间 的 关系 体现 为 如 下 几 点 。 

(1) 为 分 组 交换 的 目的 服务 。 与 分 组 交换 (Packet Switching ) 方 式 相对 应 的 有 报 文 交 
换 (Datagram Switching) 方 式 , 后 者 协议 比较 简单 ,一 般 不 进行 分 层 ; 而 分 组 交换 和 报 文 交 
换 都 属于 数据 交换 (Data Switching) 范 畴 ,采用 数字 通信 技术 ; 与 数据 交换 相对 的 交换 技术 
则 是 电路 交换 (Circuit Switching) ,如 传统 电话 网 ,采用 模拟 通信 技术 。 

(2) 每 个 层 均 实现 其 特定 的 网 络 互 连 功 能 ,可 以 是 面向 连接 的 ,也 可 以 是 面向 非 连 
接 的 。 

(3) 每 个 层 都 与 且 只 与 对 等 的 层 进行 通信 。 

(4) 同一 实体 中 , 相 邻 的 层 之 间 是 服务 和 被 服务 的 关系 ,其 中 ,下 层 为 服务 提供 者 ,上 层 
为 服务 使 用 者 ,包括 建立 连接 、 传 输 数据 .拆除 连 接 等 服务 功能 。 

(5) 层 与 层 之 间 的 服务 调用 和 提供 一 般 使 用 服务 原 语 (primitive)、 通 过 服务 访问 点 
(Service Access Point, SAP) 接 口 来 完成 ,典型 的 SAP 方式 如 套 接 字 (socket) 接 口 ,可 创建 、 
使 用 和 维护 TCP/UDP 连接 。 

由 于 开放 系统 中 不 同 的 网 络 设备 具有 不 同 的 层次 结构 和 层次 数 ,因此 ,一 个 层 与 其 对 等 
层 (peer) 的 通信 就 存在 不 同 的 类 型 。 

(1) 点 对 点 (Point-to-Point) 通 信 : 该 层 所 在 的 网 络 设备 是 相 邻 的 , 即 通过 物理 媒介 直 
接连 接 , 这 种 情况 下 ,对 等 层 之 间 的 通信 为 点 对 点 方式 。 例 如 PH 层 之 间 、DL 层 之 间 的 
互 连 。 

(2) 端 到 端 (End-to-End) 通 信 : 指 端 开 放 系统 所 特有 的 层 之 间 的 通信 方式 。 可 以 理解 
为 跨越 中 继 网 络 的 对 等 层 互 连 。 例 如 T 层 之 间 、A 层 之 间 的 互 连 。 

但 是 ,中 继 开放 系统 的 两 个 对 等 层 之 间 . 或 中 继 开放 系统 的 某 个 层 与 端 开放 系统 的 对 等 
层 之 间 , 如 果 需 要 穿越 其 他 中 继 开放 系统 进行 互 连 , 则 既 不 属于 点 对 点 方式 ,也 不 属于 端 到 
端 方式 。 另 外 ,如 果 把 网 络 设备 看 成 一 个 整体 ,那么 , 互 连 的 设备 间 的 相互 关系 也 可 使 用 上 
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需要 注意 的 是 ,在 Internet 应 用 中 有 一 类 P2P 技术 ,实际 上 是 Peer-to-Peer 的 简称 ,而 
非 点 对 点 通信 的 缩写 。 另 有 少数 文献 将 P2P 称 为 “ 端 对 端 ", 其 实 并 不 准确 ,使 用 “对 等 通 
信 ? 或 “对 等 网 络 ” 更 为 规范 。 

OSI 分 层 技术 使 不 同 层次 的 协议 承担 特定 的 功能 ,有 利于 根据 不 同 需求 设计 不 同 的 协 
议 , 有 利于 实现 对 等 层 互 连 ; 可 按 需 调用 不 同 的 低层 协议 的 服务 ,如 有 线 网 络 或 无 线 网 络 ， 
形成 协议 栈 的 灵活 构造 ; 一 个 层次 协议 的 改变 不 会 牵 一 发 动 全 身 ,便于 网 络 系统 实施 改进 、 
升级 。 

OSI 基本 参考 模型 取 之 于 网 络 、 用 之 于 网 络 。OSI 总 结 各 种 网 络 互 连 技术 并 予以 标准 
化 ,对 于 网 络 协议 和 设备 的 研究 .创新 .开发 均 具有 很 强 的 指导 意义 。 现 有 的 网 络 技术 均 遵 
循 OSI 技术 框架 。 

OSI 各 层 所 承担 的 互 连 及 其 服务 功能 如 下 。 

(1) 第 一 层 为 物理 层 (Physical Layer)。 物 理 层 用 于 驱动 物理 媒介 I/O ,实现 数据 发 送 
和 接收 ,必要 时 进行 信道 的 载波 侦 听 、 调 制 和 解 调 、 编 码 和 解码 。 

(2) 第 二 层 为 数据 链 路 层 (Data Link Layer)。 数 据 链 路 层 利用 物理 信道 (物理 层 ) 实 现 
透明 的 数据 传输 ,并 向 上 层 提 供 虚 拟 的 数据 传输 链 路 。 数 据 传输 可 以 是 可 靠 的 ,也 可 以 不 保 
证 可 靠 性 。 在 共享 信道 上 ,数据 链 路 层 还 可 根据 地 址 进行 数据 报 文 的 选择 性 接收 。 

数据 链 路 层 的 协议 数据 单元 通常 被 称 为 帧 (frame) 。 

思考 : 为 什么 允许 一 个 层 的 数据 传输 服务 可 以 不 保证 可 靠 ? 可 以 采用 哪些 技术 手段 保 
障 可 靠 数据 传输 ? 

(3) 第 三 层 为 网 络 层 (Network Layer) 。 

网 络 层 主 要 提供 寻 址 、 路 由 功能 ,并 按照 数据 链 路 的 要 求 进行 分 片 和 重组 。 网 络 层 的 协 
议 数据 单元 通常 称 为 分 组 (packet) , 故 网 络 层 常 被 称 为 分 组 层 (Packet Layer) 。 

分 组 层 可 以 提供 虚 电 路 (Virtual Circuit, VC) 或 称 逻 辑 电 路 (Logical Circuit,LC) 的 业 
务 , 可 复 用 数据 链 路 ,具体 可 采用 以 下 四 种 类 型 之 一 。 

J@ 交换 型 虚 电 路 (Switching VC,SVC) 需 要 通过 虚 电 路 连接 建立 过 程 来 创建 ,使 用 完 
毕 后 释放 该 虚 电 路 。SVC 支持 双向 数据 传输 ,由 于 可 按 需 维护 连接 ,因此 灵活 性 很 强 。 

@ 永久 性 虚 电 路 (Permanent VC,PVC) 不 需要 连接 建立 过 程 ,而 是 通过 配置 (由 人 工 
或 信 令 协议 控制 完成 ) 来 创建 虚 电 路 ,可 直接 使 用 连接 标识 来 收发 数据 ,提高 了 数据 传输 

@ 单 向 入 虚 电 路 (Incoming VC,IVC) 只 接收 入 站 数据 ,而 不 进行 出 站 数据 发 送 。 单 向 
和 人 虚 电路 的 这 种 性 质 往往 是 人 为 限定 的 ,所 以 是 一 种 逻辑 上 的 单 向 性 。 

@ 单 向 出 虚 电 路 (Outgoing VC,OVC) 与 IVC 类 似 , 但 只 完成 出 站 数据 发 送 任务 。 

(4) 第 四 层 为 运输 层 (Transport Layer)。 运 输 层 的 主要 任务 是 提供 端 到 端的 数据 传 
输 。 这 是 由 运输 层 所 处 的 特殊 位 置 决定 的 ,因为 运输 层 通常 是 跨越 网 络 互 连 的 最 低 一 层 , 所 
以 ,假如 实现 了 运输 层 之 间 的 对 等 通信 ,就 意味 着 端 系统 之 间 ( 源 和 宿 ) 已 经 成 功 达 成 了 互 连 
关系 ,尽管 这 种 互 连 关系 可 能 是 面向 连接 的 .可靠 的 ,也 可 能 是 面向 非 连 接 的 .不 保证 可 靠 
的 。 运 输 层 还 可 以 承担 数据 链 路 或 虚 连 接 的 复 用 / 解 复 用 、 分 流 /合流 。 

(5) 第 五 层 为 会 话 层 (Session Layer) 。 会 话 层 的 核心 功能 是 为 网 络 应 用 维持 所 需 的 会 
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话 关系 。 如 图 1. 3 所 示 ,一 个 应 用 (应 用 活动 ) 可 以 只 需要 一 个 会 话 就 完成 ,也 可 以 由 多 个 阶 
段 的 多 次 会 话 串 联 起 来 构成 ,还 可 以 由 多 个 并 列 的 会 话 来 构成 ,但 一 个 会 话 通常 不 会 被 多 个 


应 用 所 共享 (思考 为 什么 )。 
L 一 次 网 络 应 用 活动 
@ 单 会 话 会 话 
加 申 行 多 会 话 会 话 会 话 |][ 会 笑 |[ 会 话 
] 
@ 并 行 多 会 话 | | 
] 
[| 
@ 综 合 多 会 话 | | 


例如 ,一 


图 1.3 网 络 应 用 活动 与 会 话 关系 示意 


项 应 用 任务 需要 从 数据 库 服务 器 A 和 了 上 分 别 获取 数据 ,然后 根据 计算 结果 


从 文件 服务 器 C 上 下 载 文件 ,接着 转发 给 用 户 Pi .Ps 和 P; ,最 后 将 相关 数据 写 人 服务 器 D。 
使 用 会 话 管理 的 机 制 可 以 相对 独立 地 实现 复杂 应 用 中 各 个 应 用 子 活动 ,并 可 灵活 地 组 合 、 容 
易 扩展 和 维护 。 

(6) 第 六 层 为 表示 层 (Presentation Layer)。 计 算 机 平台 和 应 用 系统 的 编码 方式 可 能 互 


不 相同 ,为 了 


实现 互 连 ,编码 C1 ,Cs，…,C, 就 需要 相互 转换 。 如 图 1. 4(a) 采 用 了 两 两 互 转 方 


法 ,每 台 设备 需要 n 一 1 个 转换 模块 ,每 加 入 一 个 新 设备 (新 编码 Ci) 不 仅 要 实现 n 个 转换 模 


块 ,而 且 已 有 


的 设备 都 要 受到 影响 , 需 增 加 一 个 到 新 编码 的 转换 模块 ; 如 图 1. 4(b) 所 示 则 


设计 了 一 种 不 依赖 于 设备 的 标准 编码 Co, 所 有 设备 一 律 只 实现 到 Ce 的 转换 , 互 转 即 Ci 一 


Co 一 C; ,那么 
然 ,第 二 种 方 


表示 层 主 


,每 台 设备 始终 只 需 具 备 一 种 转换 能 力 ,增加 新 设备 也 不 会 干扰 现 有 设备 。 显 
案 具 有 更 大 优势 。 


(a) 


图 1.4 两 种 编码 转换 方案 比较 


要 承担 编码 (数据 表示 法 ) 转 换 的 工作 ,例如 ,可 采用 ASN. 1 技术 标准 。 


思考 : 举例 说 明 计算 机 中 需要 相互 转换 的 不 同 编码 。 
进一步 思考 : 为 什么 Internet 协议 栈 中 没有 表示 层 ? 
(7) 第 七 层 为 应 用 层 (Application Layer) 。 应 用 层 位 于 协议 栈 的 最 高 层 , 顾 名 思 义 就 是 
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支撑 网 络 应 用 并 与 网 络 用 户 接口 的 层 。 应 用 层 协 议 目 的 性 很 强 , 如 用 于 下 载 文 件 、 远 程 登录 
等 。 需 要 注意 的 是 ,应 该 把 应 用 层 与 应 用 程序 、 用 户 界面 等 概念 区 分 开 来 。 


1.3 网络 协议 原理 


根据 OSI 模 型 ,网 络 协议 就 是 对 等 层 之 间 相 互 对 话 的 规则 。 对 话 必 须 采 用 通信 双方 都 
能 完全 理解 的 “语言 >, 用 相同 的 词汇 和 一 致 的 语法 .语义 结构 , 即 遵循 同一 种 标准 化 的 协议 。 

下 面 用 一 个 例子 说 明 协议 是 如 何 满足 循序 渐进 式 提 出 的 数据 传输 需求 的 。 

在 本 书 的 讨论 中 ,经 常会 出 现 两 个 “著名 人 物 ”Alice 和 Bob, 他 们 分 别 代 表 了 通信 双方 
A 和 也 ,偶尔 也 会 有 Cary 和 Henry 登场 。 在 本 例 中 ,假定 Alice 需要 发 送 数 据 给 Bob 和 
Cary。 

(1) Alice 发 送 一 个 消息 给 Bob 。 

Alice 发 送 消息 数据 ,Bob 接收 。 

(2) Alice 发 送 一 个 带 标题 的 消息 给 Bob 。 

标题 和 消息 内 容 是 两 个 不 同 的 部 分 , Alice 应 当 让 Bob 收 到 后 能 够 识别 ,因此 ,Alice 发 
送 的 数据 报 文 被 结构 化 为 两 个 字段 : 标题 字段 和 文本 字段 。 可 以 设计 专门 的 字符 编码 ,分 
别 用 于 指示 标题 和 文本 的 起 始 位 置 , 也 可 以 用 特定 编码 的 分 隔 符 来 指示 标题 的 结束 和 文本 
的 开始 。 

(3) Alice 发 送 消息 给 Bob ,确保 Bob 正确 接收 。 

Alice 和 Bob 首先 约定 如 下 协议 : Alice 发 送 消息 数据 (可 能 包含 标题 ) 及 其 校 验 码 ; 
Bob 接收 到 数据 后 验证 之 , 若 正确 , 则 回复 响应 报 文 , 若 错误 , 则 回复 拒绝 报 文 ; Alice 若 收 
到 Bob 的 响应 报 文 ,协议 成 功 结束 , 若 收 到 Bob 的 拒绝 报 文 , 则 重新 发 送 数 据 及 其 校 验 码 。 

然而 ,实际 情况 下 还 存在 一 种 可 能 , 即 Alice 长 时 间 ( 永 远 ) 收 不 到 Bob 的 响应 ,因为 发 
aaa 为 此 ,协议 应 加 以 改进 : Alice 在 发 送 数 据 后 启动 一 个 定时 器 
(timer) , 设 定 一 个 合理 的 超时 时 间 ( 思 考 超 时 时 间 应 如 何 确 定 ), 当 计数 器 回 零 且 未 收 到 响 
Po 

但 是 到 此 为 止 ,Alice 和 Bob 的 协议 仍然 存在 一 个 风险 ,假如 Bob 正确 收 到 了 数据 ,也 
发 送 了 响应 ,只 是 响应 报 文 琉 失 了 ,那么 ,Alice 的 重 发 行为 将 造成 Bob 收 到 重复 的 数据 , 甚 
至 可 能 多 次 重复 。 所 以 ,协议 还 需要 进一步 完善 : Alice 应 给 发 送 的 数据 打上 序号 ,序号 依 
次 递增 (可 循环 ); Bob 的 响应 也 应 带 上 对 应 的 序号 , 当 发 现 收 到 重复 序号 的 数据 时 ,只 回复 
响应 报 文 ,数据 作 丢 弃 处 理 。 发 送 序号 的 引入 不 仅 避 兔 了 数据 的 重复 接收 ,而 且 可 以 使 协议 
能 够 支持 大 量 数据 的 发 送 , 即 将 数据 分 为 较 小 的 数据 块 , 按 序 编号 并 依次 发 送 ,不易 导 致 一 
个 比特 的 传输 错误 而 引起 所 有 数据 被 丢弃 。 

(4) Alice 要 可 靠 地 发 送 一 个 大 文件 给 Bob。 

既然 之 前 已 经 设计 了 发 送 序号 的 协议 机 制 ,似乎 大 文件 ( 即 大 量 数据 ) 的 发 送 已 经 不 成 
问题 。 但 考虑 信道 质量 较 差 的 情况 下 ,数据 传输 出 错 概率 较 高 ,例如 Alice 已 经 发 送 了 序号 
为 0 一 6 的 数据 报 文 , 但 序号 为 2 的 报 文 出 错 了 ,Bob 回复 拒绝 2 号 数据 报 文 , 于 是 Alice 就 
要 重 发 序号 为 2 一 6 的 报 文 ,通信 效率 十 分 低下 。 针 对 这 一 问题 ,协议 可 设计 一 种 选择 重 发 
机 制 , 即 Alice 只 重 发 Bob 拒绝 的 那个 序号 的 报 文 ,同时 ,Bob 保留 正确 接收 的 后 续 报 文 ， 
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Bob 负责 所 有 可 能 乱 序 到 达 的 报 文 的 有 序 拼接 。 

(5) Alice 要 可 靠 地 发 送 消息 给 Bob 和 Cary。 

显然 ,在 上 述 协议 的 基础 上 ,Alice 的 发 送 数 据 中 还 需要 增加 地 址 字段 ,以 指明 接收 者 为 
Bob 或 Cary; 而 Bob 和 Cary 在 响应 报 文中 也 要 带 有 自己 的 地 址 信息 ,以 便 Alice 能 够 区 分 
是 来 自 谁 的 响应 。 

上 述 过 程 还 可 以 持续 扩展 下 去 ,但 已 经 可 以 让 我 们 领会 到 通信 协议 设计 的 目的 、 基 本 原 
理 和 技术 思路 。 例 子 中 协议 的 功能 包含 了 用 于 进行 可 靠 传输 的 差错 检测 和 恢复 、 用 于 实现 
信道 复 用 的 并 发 传输 、 用 于 提高 通信 效率 的 选择 重 发 等 。 从 中 可 以 发 现 , 协 议 中 用 于 完成 数 
据 传 输 的 成 分 只 占 很 小 比重 ,大 部 分 工作 量 在 于 异常 处 理 , 运 用 “二 八 法 则 ”来 解释 ,就 是 协 
议 用 80% 以 上 的 工作 量 来 解决 20% 以 下 的 差错 检测 和 恢复 问题 。 付 出 如 此 高 的 代价 是 必 
要 的 ,因为 不 处 理 这 些 异常 情况 ,就 不 能 达到 100% 的 可 靠 。 由 此 可 获得 这 样 的 启示 : 在 高 
质量 的 通信 信道 上 ,应 该 使 用 尽 可 能 简单 而 高 效 的 协议 (参见 6.2 节 )。 


1.3.1 协议 数据 单元 


协议 数据 单元 (Protocol Data Unit, PDU) 是 构成 计算 机 网 络 协议 的 细胞 ,从 这 个 意义 
上 说 ,PDU 的 数据 结构 定义 就 是 协议 的 DNA。 事 实 上 ,ATM 协议 的 PDU 即 被 称 为 cell。 
然而 ,协议 并 非 PDU* 细 胞 ”的 堆砌 ,PDU 的 生命 周期 其 实 很 短暂 , 始 于 发 送 、 终 于 接收 。 

如 图 1. 5 所 示 ,PDU 是 一 个 结构 化 数据 块 ,由 控制 头 和 承载 数据 两 大 部 分 组 成 。PDU 
控制 头 为 结构 化 数据 ,分 为 多 个 字段 ,可 为 各 种 字段 长 度 和 类 型 (数值 ,逻辑 、 枚 举 等 ), 分 别 
用 于 表示 地 址 .序号 .长度 .流量 控制 .PDU 类 型 等 协议 要 素 ; 部 分 控制 型 PDU 并 没有 承载 
数据 部 分 ,数据 型 PDU 的 承载 数据 部 分 为 用 户 数据 或 上 层 PDU ,一 般 为 非 结构 化 数据 , 进 
行 透明 传输 (搬运 ) 。 

结构 化 数据 非 结构 化 数据 ;透明 传输 


人 ce Fr--nr--n 
1 
| 夺 


控制 头 承载 数据 校 验 字 1 分 隔 符 ! 


Control Header Data Carier J -人 必 _-- a 


J 


PDU 
图 1.5 PDU 数据 结构 示意 


图 1.6 展示 了 用 户 数 据 从 应 用 层 开始 依次 往 下 “ 穿 透 "每 一 层 的 情形 。 

每 个 协议 层 均 为 上 层 数 据 的 发 送 构造 PDU ,并 把 上 层 数 据 ( 上 层 的 PDU) 作 为 整体 来 
承载 ,而 并 不 关心 数据 的 构造 和 内 容 , 这 样 , 当 接收 端的 对 等 协议 层 收 到 PDU 后 ,剥离 本 层 
的 控制 头 部 分 , 即 可 原封 不 动 地 往 上 层 递交 数据 。 图 1. 6 中 的 递归 函数 程序 即 说 明了 自 上 
而 下 的 PDU 封装 发 送 过 程 。 

一 般 地 ,计算 机 网 络 协议 PDU 分 为 两 种 类 型 。 

(1) 控制 (ControD)PDU 一 一 由 本 协议 层 生 成 ,用 于 建立 和 拆除 虚 电 路 流量 控制 、 差 错 
检测 和 恢复 ,状态 报告 等 面向 连接 的 管理 业务 。 

(2) 数据 (Data)PDU 一 一 承载 上 层 协议 的 PDU, 实 现 有 序 的 、 透 明 的 数据 传输 。 

有 些 协议 (尤其 是 面向 非 连接 的 协议 ) 则 把 PDU 类 型 进行 了 简化 , 仅 采 用 一 种 PDU ,把 
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有 限 的 控制 和 数据 传输 两 种 功能 结合 在 一 起 ,从 而 使 协议 变 得 非常 简化 ,可 以 在 很 大 程度 上 


提高 网 络 通信 的 效率 ( 试 比较 简化 PDU 的 思想 与 RISC 计算 机 的 技术 思路 ) 。 
Send_data(char layer,char *data) A | data 
if(layer==1) 
Transfer_data(data); | A | dm 
else 
data=Make_PDU(layer-1,data); S | P | A | data 
Send_data(layer-1,data):} 
} T|Is|lP|A | daa 
| BW TT|Is|lP |A | data 
DEIN|T|IS|IP |A | data 
PH|IDLIN|IT|IS|IP|A | data 


达 名 层 PDU 名 服 PDU 守 开交 所 
控制 头 


图 1.6 OSI 各 层 PDU 控制 头 和 用 户 数据 


1.3.2 协议 通信 规程 


通信 规程 阐述 了 两 个 通信 实体 (对 等 层 ) 之 间 的 对 话 方式 , 即 一 系列 相互 交换 PDU 的 
约定 。 这 些 约 定 包 括 : 如 何 通 过 交换 控制 PDU 来 管理 连接 ,检测 错误 与 故障 恢复 ; 如 何 通过 
交换 数据 PDU 来 收发 数据 ,分割 和 拼接 数据 ; 如 何 结合 控制 PDU 来 进行 合理 的 流量 控制 等 。 

图 1.7 描述 了 一 条 虚 电 路 的 建立 过 程 (步骤 中 一 @) 以 及 与 相 邻 层 之 间 的 关系 .与 服务 
访问 点 、 原 语 和 PDU 之 间 的 关系 。 


主 呼 方 连接 被 叫 方 接受 呼 入 连接 
+1 层 发 起 连接 请 条 \、 xy 成功 tl! 层 ( 呼 入 连接 成 芭 ) 
中 原 语 : @) 原 语 : @ 原 语 : @ 原 语 : 
Con-Req Con-Conf Con-Resp Con-Ind 
a 4 
wa @PDU: Call " 层 gppu， Call Ace 


a | 
-1 层 /底层 网 络 1 层 /底层 网 络 


图 1.7 呼叫 建立 过 程 中 的 原 语 与 PDU 


通信 规程 不 仅 在 数据 链 路 层 以 上 的 协议 层次 中 使 用 ,物理 层 的 数据 传输 控制 同样 需要 
通信 规程 的 支持 。 

图 1.8 展示 了 计算 机 中 常用 的 EIA RS-232 接口 (通常 称 为 com 或 console 接口 ,与 
ITU-T V.24 和 V.28 相似 ) 的 引 脚 定义 ,DTE 方 为 计算 机 终端 ,DCE 方 为 网 络 接 入 设备 
(如 Modem)。 
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GND |[1 1][GND 
-|[ rop |[2 2]| TD | 
一 || RxD ||3 3|| RxD || 一 
一 || RTS || 4 4|| RTS || 一 
-| cTs 1 5jlcrs |-- 
-|| Dsr |[6 6|| psr |[~— 
S-GND||7 7 |IS-GND| 
-|| pcp |[8 8|| pcp | 一 
| 
—|[ DT™r |l20 20|| DTR | 一 
DTE DCE 


图 1.8 RS-232 接口 引 脚 定义 


RS-232 接口 各 个 引 脚 的 信号 之 间 的 关系 如 图 1. 9 所 示 ,通信 双方 通过 信号 电 平 的 改变 
来 实现 各 种 控制 功能 和 数据 传输 功能 。 


DTR 


) 
人 投 号 一 接 通 ) 


有 数据 需要 发 送 


上 
Tr 
图 1.9 异步 串 行 通信 信号 关系 示意 


RS-232 接口 的 通信 规程 简要 说 明 如 下 。 

(1) 当 DTE 要 求 建立 连接 时 ,首先 给 出 DTR 信和 号, DCE 通过 DSR 信和 号 进行 响应 ; 
DCE 尝试 与 通信 目的 方 建立 物理 连接 (例如 采用 拨号 方式 ) ,一 旦 成 功 , 即 以 DCD 信号 告 
知 DTE。 

(2) 当 DTE 需要 发 送 数 据 时 ,应 升 起 RTS 信号 ; 若 DCE 同意 接收 数据 , 则 以 CTS 高 
电 平 表示 接受 ,如 果 DCE 不 同意 (或 者 未 准备 好 ) 接 收 数据 , 则 保持 CTS 低 电 平 ,DTE 就 不 
能 发 送 数据 ,否则 升 起 CTS 信和 号 准备 接收 数据 。 以 此 规程 可 以 实现 物理 层 的 流量 控制 。 

(3) 当 DTE 完成 数据 发 送 后 ,可 取消 DTR 信号 ,DCE 了 解 其 意图 后 释放 物理 连接 。 
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思考 : 如 何 采用 RS-232 接口 “背靠背 ”连接 两 个 DTE( 终 端 ) 设 备 ? 如 果 不 考 虑 流量 控 
制 , 一 个 最 简化 的 RS-232 接口 是 什么 样 的 ? 


1.3.3 网 络 协议 类 型 


按照 数据 比特 的 传输 方式 ,可 分 为 并 行 传输 (Parallel Communication) 和 串 行 传输 
(Serial Communication) 两 种 通信 接口 。 并 行 传输 指 同 时 发 送 一 个 8b (或 更 多 比特 ) 的 数 
据 , 如 打印 机 接口 .计算 机 内 部 数据 总 线 等 。 但 网 络 通信 需要 的 距离 较 远 ,并 行 传输 需要 较 
多 的 数据 信号 线 (或 信道 ), 对 通信 资源 的 要 求 过 高 ,所 以 ,不 论 是 有 线 信道 还 是 无 线 信 道 , 计 
算 机 网 络 总 是 采用 串 行 传输 方式 , 即 按 比 特 依次 传输 。 

串 行 通信 进一步 可 分 为 异步 串 行 通信 (Asynchronous Serial Communication) 和 同步 串 
行 通信 (Synchronous Serial Communication ) 两 种 类 型 。 两 者 的 差异 主要 在 于 通信 双方 是 
否 采用 完全 相同 的 时 钟 (clock)。 如 图 1. 9 所 示 ,在 异步 串 行 通信 过 程 中 ,没有 专门 的 时 钟 
线路 (同样 可 以 节省 线路 资源 ) ,数据 发 送 方 根据 发 送 时 钟 (TxC) 来 发 送 串 行 的 比特 流 , 每 个 
时 钟 周期 发 送 一 个 比特 ,接收 方 则 根据 一 致 的 时 钟 频 率 ( 接 收 时 钟 RxC) 来 提取 比特 。 然 
而 ,由 于 发 送 方 和 接收 方 所 用 的 时 钟 都 是 由 本 身 计 算 机 生成 ,因此 TxC 和 RxC 必然 会 有 差 
异 : 时 钟 相位 上 的 差异 可 以 通过 接收 方 使 用 合理 的 采样 技术 来 调整 ; 但 是 ,时 钟 频 率 的 差 
异 ,即便 很 微小 ,积累 效应 也 会 很 大 ,严重 到 一 定 程 度 无 疑 会 影响 到 接收 方 的 比特 采样 的 准 
确 性 。 为 此 ,异步 串 行 通信 采用 两 个 办 法 来 应 对 时 钟 误差 。 

(1) 每 个 字 节 以 起 始 比 特 开 始 ,停止 比特 结束 ,通过 起 始 和 停止 比特 的 调整 ,把 误差 积 
累 限制 在 5 一 8 比特 字 节 范围 内 。 

(2) 保证 在 一 个 时 钟 周期 范围 内 都 能 正确 采样 比特 ,从 而 在 一 个 字 节 范围 内 允许 一 定 
的 误差 存在 。 

设 TxC 和 RxC 的 时 钟 周期 分 别 为 了 .和 T,。 发 送 8b 数据 ,加 上 起 始 和 停止 比特 , 共 需 
发 送 10b。 

不 失 一 般 性 , 设 T. 二 T,,( 即 接收 时 钟 稍 慢 ), 需 满足 

XT < OX Ts 
解 得 
本 柯 
到 全 
说 明 TxC 和 RxC 允许 有 约 一 成 的 误差 。 

在 网 络 应 用 系统 中 ,通信 双方 或 多 方 之 间 的 事务 处 理 .协议 流程 等 也 经 常会 用 到 同步 和 
异步 的 概念 ,但 不 一 定 是 基于 时 钟 的 ,往往 是 基于 状态 的 。 假 如 在 某 个 事件 的 触发 下 ,双方 
进入 一 致 的 状态 ,并 等 待 进一步 发 生 的 事件 (如 接收 期 望 的 数据 ) , 则 属于 同步 控制 方式 ; 假 
如 不 依赖 于 状态 ,不 作 停 等 ,而 是 继续 执行 其 他 事务 ,一 旦 事件 发 生 仍 然 可 以 进行 对 应 的 处 
理 , 则 属于 异步 控制 方式 。 两 种 方式 没有 绝对 的 优 劣 之 分 ,应 根据 需要 来 分 别 运用 。 
除了 时 钟 同 步 上 的 差别 ,异步 串 行 方 式 和 同步 串 行 方 式 分 别提 供 不 同 的 数据 传输 模式 。 
异步 串 行 传输 适用 于 面向 字符 流 的 数据 传输 ,以 字符 为 单位 依次 发 送 数 据 , 字 符 间 可 以 “ 停 
顿 *( 即 无 任何 数据 ) ,主要 用 于 字符 串 (如 命令 串 ) 或 数据 报 (datagram) 的 传输 ,对 应 于 字符 
型 协议 和 报 文 交换 (Datagram Switching) 方 式 ; 同步 串 行 传输 则 用 于 面向 比特 流 的 数据 传 
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输 , 即 提供 面向 分 组 (packet) 的 传输 ,对 应 于 分 组 型 协议 和 分 组 交换 (Packet Switching) 
方式 。 

比特 流传 输 的 基本 原理 是 : 信道 上 比特 紧密 排列 传输 ,分 组 内 部 没有 空隙 或 停顿 ; 采 
用 特定 的 表示 起 始 或 结束 标志 符 (flag) 的 比特 模式 (如 0111,1110) ,用 以 分 隔 分 组 ; 通过 发 
送 方 零 插 入 、 接 收 方 零 删 除 的 方法 ,避免 标志 符 的 影响 ,实现 数据 的 透明 传输 ( 详 见 1.4 节 )。 

当 需 要 在 异步 通信 线路 (或 接口 ) 上 传输 分 组 型 数据 时 ,可 采用 BSC、SLIP、PPP 等 协议 
进行 转换 ,通过 转 义 字符 的 插入 和 删除 来 保证 数据 的 透明 传输 ( 详 见 1. 5 节 )。 

思考 : 考察 传统 电话 网 拨号 上 网 所 使 用 的 调制 解 调 器 (Modem) 采 用 的 AT 命令 集 及 其 
操作 规程 。 


1.4 BSC 和 SLIP 


二 进 制 同步 通信 (Binary Synchronous Communication, BSC) 协 议 是 经 典 的 面向 字符 的 
同步 协议 ,由 IBM 公司 提出 ,是 最 早 的 同步 协议 。 
值得 注意 的 是 ,BSC 协议 是 在 异步 串 行 通信 线路 上 传输 的 ,但 命名 为 同步 ,说 明 BSC 协 
议 可 用 于 传输 控制 信息 和 数据 分 组 。 
如 表 1. 1 所 示 ,BSC 协议 通过 定义 一 系列 控制 字符 的 方法 来 实现 控制 命令 、 响 应 的 传 
输 ,结构 化 数据 传输 和 透明 数据 传输 。 
表 1.1 BSC 协 议 控 制 字 符 


控制 字符 

名 称 与 含义 
ASCII 码 值 
EBCDIC 码 值 


SOH  STX  EIX EOT ENQ ACK DEL NAK SYN ETB 
序 始 文 始 文 终 送 毕 询问 确认 转 义 ”否认 同步 块 终 
0x01 0x02 0x03 0x04 0x05 0x06 0x10 Ox15 Ox16 Ox17 


0x01 0x02 0x37 Ox2d 0x3d 0x32 0x26 


BSC 协议 的 报 文 一 般 由 报头 和 文本 组 成 。 当 信道 上 无 数据 发 送 时 ,可 以 用 同步 字符 
(SYN) 填 充 , 同 步 字符 同时 起 到 分 隔 不 同 报 文 的 作用 。 两 个 报 文 间 至 少 需要 两 个 SYN, 使 
双方 实现 同步 。 报 头 以 SOH 开始 ,文本 由 STX 开始 ,两 者 均 以 其 他 控制 字符 结束 。 报 头 
中 可 包含 识别 符 、 地 址 等 信息 。 

BSC 协议 有 数据 和 控制 两 类 报 文 ,控制 报 文 又 可 分 为 正 向 控制 和 反 向 控制 两 种 ,每 一 
种 报 文 中 至 少 包含 一 个 控制 字符 。 例 如 ,ENQ 用 于 轮 询 功 能 ,在 多 站 结构 中 ,被 轮 询 的 站 点 
地 址 位 于 ENQ 字 符 前 ; EOT 用 于 标志 报 文 交换 的 结束 ,在 两 站 点 间 拆 除 迎 辑 链 路 。 

所 有 数据 报 文 在 块 终 符 (ETB) 或 文 终 符 (ETX) 之 后 附加 块 校 验 符 (Block Check 
Character,BCC),BCC 可 采用 垂直 奇偶 校 验 或 16b 的 CRC 码 , 校 验 范围 从 STX 开始 到 
ETX 或 ETB 为 止 。 长 度 不 超过 限制 的 文本 数据 可 只 用 一 个 数据 报 文 发 送 ; 较 长 的 文本 数 
据 则 可 分 作 多 块 , 用 多 个 数据 报 文 发 送 。 接 收 方 对 于 每 一 个 收 到 的 数据 报 文 都 要 给 予 确认 。 
当 发 送 方 收 到 返回 的 肯定 确认 (ACK) 后 ,才能 发 送 下 一 个 数据 报 文 ; 而 如 果 收 到 否定 确认 
(NAK), 则 说 明报 文 有 误 而 被 拒绝 ,应 重新 发 送 。 

一 个 典型 的 BSC 协议 报 文 结构 如 下 : 


…[SYN][SYN][SoH]… 报 头 … [STX] … 文 本 … [ETX][BCC][SYN] … 
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显然 , 当 文本 数据 中 包含 与 控制 字符 相同 编码 的 内 容 时 ,就 会 出 现 失 步 ,造成 协议 处 理 
的 混乱 。 为 了 实现 数据 的 透明 传输 ,需要 通过 转 义 字符 CDLE) 来 解决 编码 二 义 性 问题 。 方 
法 是 : 除了 同步 字符 外 ,其 他 控制 字符 ( 设 为 Lxxx]) 在 发 送 时 均 采 用 LDLE]-Lxxxj] 的 表达 方 
式 ; 当 文 本 中 出 现 DLE 编码 (实际 为 数据 ) 时 , 则 采用 LDLE]-LDLE] 进 行 发 送 。 

接收 方 的 处 理 相当 简单 : 当 收 到 单个 的 DLE 字符 时 ,其 后 必 为 控制 字符 ; 当 收 到 一 对 
DLE 字符 时 ,去 掉 一 个 , 另 一 个 为 数据 字符 。 

思考 : 为 什么 不 需要 处 理 ( 转 义 ) 文 本 数据 中 的 SYN 字符 编码 ? 为 什么 不 采用 统一 在 
文本 数据 中 每 遇 到 控制 字符 就 插入 一 个 DLE 字符 的 方法 ? 

串 行 线路 互联 网 协议 (Serial Line Internet Protocol, SLIP) 是 Internet 的 专用 协议 
(RFC 1055) ,用 于 在 串 行 通信 线路 (如 低速 拨号 网 络 ) 上 传输 分 组 型 的 IP 报 文 。 

SLIP 与 BSC 协议 采用 类 似 的 工作 原理 ,但 由 于 其 目的 很 单纯 ,就 是 封装 IP 报 文 ,起 到 
转换 作用 ,因此 不 需要 复杂 的 控制 字符 ,只 需要 实现 报 文 间 的 分 隔 和 数据 的 透明 传输 。 为 
此 ,SLIP 协议 定义 END(0xc0) 为 报 文 开 始 和 结束 符 ,ESC(0xdb) 为 转 义 字符 。 当 IP 报 文 
中 出 现 END 编码 时 ,传输 0xdb-0xdc; 当 IP 报 文中 出 现 ESC 编码 时 ,传输 0xdb-0xdd。 


1.5 LAP 协议 


链 路 接 入 规程 (Link Access Procedure,LAP) 代 表 了 一 系列 的 数据 链 路 层 协议 ,由 同步 
数据 链 路 控制 (Synchronous Data Link Control, SDLC) 和 高 级 数据 链 路 控制 (High-level 
Data Link Control, HDLC) 两 种 协议 发 展 而 来 ,之 后 又 衍生 出 用 于 X. 25 分 组 交换 网 络 
(PSDN) 的 LAPB(LAP Balanced for X. 25) 协 议 . 用 于 ISDN 的 LAPD(LAP on the D 
channel) 协 议和 用 于 FR 网 络 的 LAPF(LAP for Frame-mode Services) 协 议 。 

LAP 是 面向 比特 流 的 分 组 型 协议 ,在 同步 串 行 信道 上 以 连续 的 比特 传输 每 一 个 分 组 ， 
分 组 间 用 标志 F(Flag) 作 为 开头 和 结尾 (开头 、 结 尾 可 以 共用 一 个 F) 。 标 志 下 编码 为 0111， 
1110( 即 0x7e) ,应 理解 为 一 个 “2 个 0 之 间 连 续 6 个 1 的 比特 流 模式 ”。 为 了 达到 数据 透明 
传输 的 目的 ,一 旦 分 组 比特 流 中 出 现 F 编码 ,就 需要 设法 打破 这 一 模式 ,防止 接收 方 因 误解 
而 进行 错误 操作 。 采 取 的 方法 是 零 比特 插入 法 : 分 组 比特 流 中 每 出 现 连 续 的 5 个 1, 就 自动 
插入 一 个 0; 接收 方 自动 删除 连续 5 个 1 后 面 的 0。 例 如 ,有 数据 帧 {0x73,，0xf5，0xf6， 
0x7e，0xfa，0x3e} ,发 送 方 总 共 应 插入 5 个 0, 而 不 是 表面 上 看 的 一 个 0( 思 考 为 什么 ) 。 

进一步 思考 : 当 接 收 方 收 到 信道 上 传 来 的 以 下 比特 串 后 应 如 何 处 理 ? 

…011110011111011100111111001111100010111110011011000… 

LAP/ HDLC 协议 有 非 平衡 配置 和 平衡 配置 两 种 模式 。 

非 平衡 配置 中 由 主 站 (Primary Station ) 控制 整个 链 路 的 工作 ,而 次 站 或 从 站 
(Secondary Station) 不 能 主动 发 送信 息 , 只 有 当主 站 轮 询 或 探 询 (polling) 时 才 可 以 回复 。 
主 站 发 送 的 帧 称 为 命令 帧 (command) ,从 站 发 出 的 帧 称 为 响应 帧 (response) 。 在 一 个 特定 
的 通信 系统 中 , 主 站 是 唯一 的 ,从 站 可 以 有 多 个 。 

非 平衡 LAP/HDLC 协议 的 半 双 工 通信 方式 较为 适合 总 线 型 共享 信道 ,可 避免 发 送 冲 
突 的 发 生 , 同 时 可 应 用 于 卫星 和 各 个 地 面 站 之 间 的 通信 。 

平衡 配置 则 采用 复合 站 (Combined Station) 方 式 , 同 时 具有 主 站 和 从 站 的 功能 ,通信 双 
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方 对 称 部 署 , 相 当 于 将 两 条 半 双 工 信 道 合成 为 一 条 全 双 工 信道 。 但 衍生 出 的 LAPB 等 协议 
已 经 直接 采用 对 等 的 通信 方式 ,没有 主 站 和 从 站 的 区 分 ,双方 都 可 以 主动 发 送 命令 和 响应 ， 
成 为 彻底 的 全 双 工 方式 。 

LAP 系列 协议 的 帧 结构 有 很 大 相似 性 ,主要 差别 在 地 址 (address) 和 控制 (control) 字 
段 , 帧 类 型 也 不 尽 相 同 。 例 如 LAPD 协议 将 两 个 字段 合 为 一 个 进行 编码 ,但 工作 原理 和 主 
要 功能 比较 一 致 ,主要 用 以 解决 在 物理 信道 上 进行 可 靠 数据 传输 的 问题 。 

以 HDLC 协议 为 例 , 帧 结构 如 图 1. 10 所 示 。 


8b 8b 8b 可 变 长 16b 8b 
标志 | 地 址 | 控制 信息 | 帧 校 验 序列 ”| 标志 
Flag Address | Control Information FCS Flag 
O1111110 oe 7 7 O1111110 
| 
1 信息 帧 [0| Ms jpe xm |) 
| 监督 帧 S| 1|0| ss |PF| MAR) 
1 无 编号 帧 U| 1 | 1 | w |PF| 1 
bs 站 | 


图 1.10 HDLC 帧 结构 


地 址 字段 用 以 标识 一 个 站 点 ,通过 事先 的 约定 来 确定 地 址 码 。 在 非 平衡 模式 下 ,地 址 字 
段 总 是 填 人 次 站 地 址 ; 而 在 平衡 模式 下 ,地址 字段 总 是 填 人 确认 站 的 地 址 ( 即 命令 帧 中 填 对 
方 地 址 ,响应 /确认 帧 中 填 本 方 地 址 )。 如 果 需 要 扩展 地 址 字段 ,就 以 第 0 比特 为 地 址 扩展 标 
志 (EA), 当 EA=0 时 ,表示 后 一 个 字 节 仍然 为 地 址 信息 ,而 最 后 一 个 地 址 字 节 的 扩展 标志 
EA=1。 

控制 字段 用 以 区 分 不 同 的 帧 类 型 并 携带 协议 控制 信息 。 其 中 , P/F 位 为 探 询 /终止 
(polling/final) 标 志 , 主 站 发 送 的 命令 帧 中 P= 1 表示 要 求 对 方 立即 响应 ,而 对 方 发 送 的 确 
认 帧 中 =1 表示 数据 发 送 完毕 ; N(S) 和 N(R) 分 别 为 发 送 和 接收 序号 ,在 nb 编码 方式 
下 ,序号 空间 为 0 一 2 一 1 ,进行 循环 编码 ; N(R) 的 含义 是 确认 已 经 接收 到 (N(R) 一 1) mod 2" 
和 之 前 的 帧 准备 好 接收 编号 为 N(R) 的 帧 ; 信息 帧 中 的 N(R) 具 有 朱 带 确认 (piggy- 
backing) 的 作用 ; S 和 M 字段 是 监督 帧 和 无 编号 帧 的 类 型 码 , 如 S(bits 一 bits) 二 00 为 接收 
就 绪 (Receive Ready,RR) ,01 为 接收 未 就 绪 (Receive Not Ready,RNR) ,10 为 拒绝 (Reject， 
REJ) ,11 为 选择 拒绝 (Selective Reject,SREJ) 。 无 编号 帧 有 SAM/SABM、UA、DISC 等 ,用 
于 链 路 逻辑 连接 的 建立 和 其 他 控制 操作 。 

HDLC 采用 多 种 技术 手段 来 保障 无 差错 数据 传输 ,包括 帧 校 验 (差错 检测 ) 、 帧 确认 和 
重 发 (差错 恢复 ) 等 机 制 , 还 可 用 滑动 窗口 机 制 进行 流量 控制 。 


1.5.1 帧 校 验 机 制 


帧 校 验 序列 (Frame Check Sequence,FCS) 为 16b 数值 ,采用 循环 元 余 码 (Cyclic Redundancy 
Check,CRC) 检 错 技术 。CRC 码 是 一 种 线性 分 组 码 ,编码 和 解码 方法 简单 , 检 错 和 纠 错 能 力 
强 , 能 够 达到 0. 0047%% 以 下 漏 检 率 ,可 检测 出 所 有 奇数 个 随机 错误 .长度 小 于 等 于 生成 多 项 
式 阶 数 的 突 发 错误 。 

设 传输 的 比特 流 为 M, 需 生成 nb 的 CRC 码 RCz), 则 应 采用 nn 阶 的 生成 多 项 式 PCz) 。 
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例如 ,生成 多 项 式 P(x)==xz' 十 x 十 zx 十 1, 对 应 二 进 制 数 即 为 10100011。 
CRC 码 计 算 方 式 如 下 : 


MX 2" 
Plxy 


余数 RCz) 就 是 CRC 码 (高 位 用 二 进 制 0 补 是 nb)。 将 该 CRC 码 填 入 FCS 字段 进行 传输 ， 
相当 于 传输 SMX2" 十 R(x)。 

在 串 行 传输 链 路 上 , 当 数 据 M 按 比特 依次 发 送 时 , 即 可 一 边 发 送 ,一 边 进行 CRC 除法 
运算 。 这 一 过 程 可 以 如 下 表述 (如 图 1. 11 所 示 )。 

《1D 采用 一 个 "十 1 比特 的 发 送 寄存 器 和 一 最 先 发 送 的 比特 一 -比特 流 笨 入 和 发 送 方向 


一 Q…RCz) 


个 2 十 1 比特 的 除法 寄存 器 , 均 进 行 逻 辑 左 移 操 M110199goql-~ 一 尾部 添加 2 个 0 
作 ; 在 待 发 送 数据 的 尾部 添加 个 二 进 制 0。 Re 0 因为 RD 为 2 阶 
(2) 将 一 个 待 发 送 数据 的 比特 同时 移 人 发送 We 
寄存 器 和 除法 寄存 器 的 最 低位 (添加 的 个 0 将 oo0l 
只 移入 除法 寄存 器 ); 从 发 送 寄 存 器 左 移 溢出 的 ph 
最 高 位 比特 可 进行 发 送 。 101 
(3) 当 除法 寄存 器 满 时 ,用 P(z) 作 为 除数 进 oI 
行 一 次 按 位 除法 运算 ( 按 位 异 或 ), 得 到 的 中 间 值 oi RV-0 
放 入 除法 寄存 器 ,并 左 移 去 掉 高 位 连续 的 0。 实际 发 送 110100007 
(4) 返回 第 (2) 步 ,直到 添加 的 所 有 nn 个 0 都 图 1.11 CRC 按 位 除法 示例 
已 参与 运算 。 


(5) 取 除 法 寄存 器 的 低 n 比特 ( 即 余数 RC(z)), 从 高 位 起 依次 移入 发 送 寄存 器 最 低位 ， 
左 移 发 送 ,直到 发 送 寄存 器 为 空 。 发 送 完毕 。 
接收 方 采用 同样 的 生成 多 项 式 P(z) 进 行 按 位 除法 运算 : 
S MXxX2"+R(z) 
P(xz) P(x) 


震 余 数 "一 0, 表 示 接 收 无 误 , 和 否则 表示 有 误 码 。 在 某 些 特殊 情况 下 ,传输 误 码 可 能 也 会 
碰巧 得 到 r==0, 但 只 要 P(z) 选 择 得 当 , 可 以 把 漏 检 率 降 到 极 小 。 较 常用 的 PCz) 多 项 式 有 
CRC-16 一 zs 十 zs 十 z2 十 1 
CRC-CCITT = x* 十 x* 十 x 十 1 
CRC-32 二 2” 十 2 二 十 x2 十 让 二 
Fw 二 让 十 十 并 十 作 生 1 


思考 : 数据 发 送 时 ,应 该 先 计算 CRC 码 还 是 先进 行 零 比特 插入 ? 
1.5.2 帧 确认 和 重 发 机 制 


协议 对 发 送 的 信息 帧 进行 N(S) 编 号 ,接收 方 如 果 正 确 接收 到 一 个 帧 ,就 以 NCR) 一 
CN(S) 十 1) mod 2" 进 行 确认 ,如 果 一 个 帧 接收 错误 或 根本 没有 到 达 , 接 收 方 不 作 确认 ,那么 
发 送 方 在 一 定时 间 后 (确认 计时 器 超时 ) 就 要 考虑 重 发 。 

在 某 些 情况 下 ,接收 方 可 以 发 现 帧 丢失 的 情况 。 例 如 ,接收 方 设置 期 望 收 到 下 一 帧 编号 
的 寄存 器 V(R) , 若 序号 缺失 , 即 接收 到 的 NCS) 二 VCR)(Cmod 2") ,就 可 以 及 时 报告 给 发 送 
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方 ,不 必 等 待 确认 计时 器 超时 才能 发 现 错误 。 假 如 发 现 收 到 的 帧 序号 超出 了 规定 范围 (如 窗 
口 ) ,应 作为 严重 故障 处 理 ( 如 进行 复位 ) 。 

在 停 等 式 ( 或 称 乒 乓 式 ) 的 自动 重 发 请 求 (Automatic Repeat reQuest, ARQ) 协 议 中 ,每 
个 信息 帧 都 要 进行 确认 ; 在 连续 ARQ 协议 中 ,发 送 方 不 必 等 待 确认 ,可 以 连续 发 送 多 个 信 
息 帧 ,接收 方 也 可 以 一 次 性 确认 多 个 帧 ,可 以 提高 协议 工作 效率 ,提高 信道 带宽 利用 率 。 

如 果 接 收 方 发 现 传输 差错 ,可 以 通过 发 送 REJ 帧 请 求 重 发 。 发 送 方 确认 计时 器 超时 
后 ,将 认定 帧 已 经 丢失 ,主动 进行 重 发 。 简 单 重 发 机 制 规定 从 出 错 的 帧 开始 ,后 面 已 经 发 送 
过 的 帧 都 要 按 顺 序 重 发 一 遍 ,而 不 管 这 些 帧 是 否 已 经 发 送 成 功 。 

对 于 一 些 带宽 资源 比较 宝贵 的 链 路 ,简单 重 发 会 产生 较 大 浪费 , 带 来 的 延迟 也 可 能 较 
大 ,可 采用 选择 重 发 机 制 , 即 用 SREJ 帧 指定 需要 重 发 的 帧 ,发送 方 只 重 发 指定 帧 ,其 他 已 发 
送 的 帧 不 受 影响 。 在 这 种 情况 下 ,接收 方 需要 缓存 差错 帧 后 收 到 的 所 有 正确 帧 ,会 产生 系统 
复杂 性 增加 、 存 储 空间 消耗 大 等 问题 。 
1.5.3 滑动 窗口 机 制 

滑动 窗口 (Sliding Window) 是 指 在 发 送 端 设 定 一 个 发 送 序号 区 间 ,在 这 个 区 间 内 ,可 以 
不 经 确认 连续 发 送信 息 。 每 发 送 一 个 信息 帧 ,窗口 值 减 1, 当 窗口 值 为 0 时 ,发 送 暂 时 停止 。 
当 发 送 端 收 到 接收 端 发 来 的 确认 后 ,将 确认 的 帧 数 加 入 窗口 值 ,窗口 同时 向 前 滑动 ,可 以 继 
续 发 送信 息 帧 (如 图 1. 12 所 示 ) 。 


发 送 窗 口 ”发 送 窗口 调整 
可 发 送 3 帧 发 送 2 帧 可 发 送 ! 帧 已 确认 2 帧 


发 0 2 0 0 2 发 送 
交 
J 7 一 一 7 
3 3 发 送 窗口 调整 
6 4 6 4 6 可 可 发 送 2 帧 


. Ee 5 
| Se 0 
i i en 和 
确认 2 帧 
i 


3 | 接收 窗口 调整 
准备 接收 下 3 帧 


图 1.12 窗口 流 控 示 意 


显然 ,窗口 机 制 可 以 起 到 端 到 端 流量 控制 的 作用 。 最 大 窗口 值 Kw: 由 通信 双方 事先 约 
定 ,满足 接收 端的 接收 能 力 , 同 时 考虑 到 通信 线路 的 延迟 等 因素 ,使 信道 可 以 被 充分 利用 。 
接收 方 也 可 以 设 定 接收 窗口 ,一 方面 据 此 检查 帧 序号 是 否 越界 , 另 一 方面 可 以 进行 批量 
确认 。 
设 帧 序号 为 nab, 编码 空间 为 0 一 2" 一 1 ,那么 必 有 
Qa Rs 
天 mx 二 0 很 显然 ,Kx<2" 可 采用 反 证 法 证 明 。 
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先 考虑 KK. 二 2" 的 情况 ,假设 发 送 端 用 满 窗口 发 送 了 2" 个 帧 。 第 一 种 情况 ,如 果 这 2” 
个 帧 都 丢失 了 ,那么 来 自 接收 端的 N(R) (在 监督 帧 或 信息 帧 中 携带 ) 会 被 发 送 端 误 以 为 是 
对 这 些 已 丢失 帧 的 确认 ; 第 二 种 情况 ,如 果 这 2" 个 帧 正确 到 达 , 但 所 有 确认 帧 (可 能 只 有 一 
个 批量 确认 帧 ) 丢失 ,发送 方 就 会 超时 重 发 ,而 接收 端 并 不 知道 是 重复 发 送 的 ,从 而 引发 

再 考虑 人 二 2" 的 情况 ,假设 发 送 端 发 送 了 2 个 以 上 的 帧 ,由 于 发 送 序号 是 循环 使 用 
的 , 则 必 有 两 个 信息 帧 的 NCS) 相 同 ,那么 一 个 确认 的 N(R) 就 可 能 会 出 现 二 义 性 。 

在 序号 编码 空间 的 规划 方面 , 设 从 发 送 端 到 接收 端的 发 送 时 延 为 工 秒 ( 例 如 卫星 地 面 
站 间 通 过 卫星 转发 数据 的 单 跳 时 延 约 为 270ms) ,双向 传输 速率 均 为 Cb/s, 信 息 帧 长 度 为 
LB, 接 收 端 收 到 第 一 个 信息 帧 后 立即 进行 确认 ,假定 确认 帧 长 度 .计算机 处 理 时 间 等 包 略 不 
计 , 那 么 ,为 了 充分 利用 信道 资源 ,发 送 窗 口 K 要 足够 大 ,使 发 送 端 可 以 连续 发 送信 息 帧 而 
无 须 等 待 确认 ,相当 于 要 让 信息 帧 的 比特 填 满 来 回信 道 (注意 不 要 遗漏 发 送 第 一 个 信息 帧 需 
要 的 数据 传输 时 间 ) ,因此 有 以 下 关系 式 : 
(2T+E)xc rc, 

5 4L 

得 到 天 值 后 ,再 根据 以 上 讨论 的 Ke 与 帧 序号 编码 空间 的 约束 要 求 , 即 可 以 确定 帧 序 

号 的 编码 比特 数 。 例 如 ,如 果 天 一 4, 序 号 应 为 3b 编码 ; 如 果 天 一 67, 序 号 应 为 7b 编码 。 
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以 太 网 (Ethernet) 是 最 常见 .最 常用 的 网 络 之 一 。 以 太 网 以 性 能 优异 、 价 
格 低廉 .使 用 便捷 著称 。 在 校园 机关、 企业 .家庭 以 及 城市 的 各 个 角落 几乎 
都 部 署 了 以 太 网 ,我 们 使 用 的 各 种 计算 机 设备 、 移 动 通信 终端 都 有 以 太 网 接 
口 ,便于 随时 随地 接 入 网 络 。 

学 习 掌握 以 太 网 技术 原理 ,应 先 从 分 析 共 享 网 络 开始 。 


2.1 共享 网 络 原理 


共享 网 络 (shared network) 是 指 所 有 网 络 设备 都 使 用 同一 个 通信 信道 。 

以 课堂 为 例 , 所 有 学 生 和 教师 在 同一 个 教室 空间 中 ,通过 周围 的 空气 传 
播 声 音 。 每 个 人 都 是 通信 实体 ,声音 就 是 传输 的 数据 ,而 空气 就 是 通信 媒介 ， 
形成 类 似 计算 机 网 络 的 共享 网 络 系统 。 考 察 这 个 系统 ,可 以 观察 到 存在 以 下 
两 个 现象 。 

(1) 教室 里 任何 一 个 人 讲话 ,其 他 人 都 可 以 听 到 。 即 使 是 点 名 提问 ,别人 
也 在 听 , 只 不 过 未 被 点 到 的 人 不 响应 罢了 。 

(2) 如 果 有 两 个 人 同时 讲话 ,就 有 可 能 谁 也 听 不 清楚 。 

我 们 不 能 因此 而 得 出 这 个 “系统 有 问题 "的 冒失 结论 ,只 能 说 这 个 系统 具 
有 自身 的 特点 ,使 用 者 应 该 想 办 法 去 适应 它 。 所 以 ,为 了 维持 系统 的 正常 运 
行 , 即 保持 良好 的 课堂 秩序 ,这 个 系统 需要 一 定 的 规则 。 例 如 ,如 下 两 种 规则 
执行 任何 一 条 都 是 有 效 的 。 

(1) 规则 一 : 由 教师 主导 讲话 ,除非 被 点 名 发 言 ,否则 学 生 不 能 讲话 。 

(2) 规则 二 : 教师 和 学 生 都 可 以 自主 发 言 ,参与 讨论 ,但 每 个 人 都 应 保持 
基本 的 礼节 ,别人 讲话 时 不 能 插嘴 ,发 生 异 口 同 声 的 情况 时 可 相互 谦让 或 
协商 。 

课堂 这 个 系统 还 有 一 个 良好 的 特点 ,就 是 每 个 个 体 都 是 独立 ,平等 的 , 晚 
到 的 学 生 可 以 悄悄 入 座 , 早 退 的 学 生 可 以 偷偷 离 席 ,不 会 影响 系统 的 正常 


运行 。 
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共享 网 络 具有 类 似 的 特点 ,当然 计算 机 没有 礼节 的 概念 ,于 是 需要 为 联网 的 计算 机 设备 
设计 满足 共享 网 络 需求 的 算法 ,以 避免 发 送 数据 的 冲突 ,以 及 一 旦 发 生 冲 突 也 能 尽快 发 现 和 
恢复 。 
2.1.1 时 钟 同步 方案 


假定 共享 网 络 上 所 有 计算 机 设备 S1S,… 5S, 有 完全 一 致 的 时 钟 ,即时 钟 同步 , 则 采用 如 
图 2.1 所 示 的 方法 , 先 将 时 间 轴 等 分 为 一 个 个 的 时 间 片 (Time Slice) , 设 为 T;, 并 规定 每 个 
计算 机 设备 每 次 可 使 用 一 个 时 间 片 ,然后 把 发 送 权 交 给 下 一 个 计算 机 设备 ,依次 类 推 。2 个 
时 间 片 为 一 个 周期 ,循环 往复 。 其 实 , 这 种 方式 就 是 时 分 复 用 (Time Division Multiplexing， 
TDM) 技 术 。 


时 钟 同步 方案 具有 如 下 优点 。 = 局 = 
(1) 控制 方法 十 分 直观 而 简单 ,不 需要 执行 专 PEE 
门 的 协议 ; Ne eo 


(2) 所 有 设备 都 是 平等 的 ,无 须 控 制 中 心 这 样 ”图 2.1 时 分 复 用 的 共享 网 络 方案 示意 
一 种 特殊 设备 ; 

(3) 任何 一 台 设 备 损坏 (除非 是 干扰 信道 的 故障 ) 基 本 不 会 影响 网 络 的 正常 运行 。 

时 钟 同步 方案 具有 如 下 缺点 。 

(1) 通信 资源 分 配 看 似 完 全 “公平 ”, 实 质 上 效率 低下 ,因为 不 论 设备 是 否 需 要 发 送 数 
据 , 时 间 一 到 ,就 拥有 发 送 权 ,信道 利用 率 很 低 。 在 极端 情况 下 ,发 送 任务 可 能 集中 在 一 台 设 
备 上 , 则 信道 利用 率 仅 为 1/n。 而 且 为 避免 一 个 完整 的 数据 报 文 发 送 完 成 前 时 间 片 到 时 (成 为 
碎片 报 文 ), 时 间 片 长 度 会 设置 较 大 余 量 ,结果 大 部 分 时 间 片 往往 使 用 不 足 ,效率 进一步 降低 。 

(2) 更 糟 的 情况 是 ,第 十 1 个 设备 的 加 入 是 个 艰巨 的 任务 , 减 去 其 中 一 个 设备 的 难度 
也 不 小 ,需要 其 他 设备 做 出 相应 的 调整 ,会 影响 到 系统 中 所 有 的 设备 。 

(3) 最 糟 的 情况 是 ,方案 设计 是 在 假定 所 有 的 设备 都 能 达到 完全 时 钟 同步 的 前 提 下 , 然 
而 实现 同步 非常 困难 ,一 般 需 要 同一 时 钟 源 , 需 要 对 时 钟 信号 传输 距离 进行 补偿 ,需要 使 用 
昂贵 的 对 时 设备 (如 卫星 时 钟 ) 或 建设 专门 的 时 钟 同步 网 络 。 

可 见 , 这 一 方案 的 缺点 所 造成 的 困难 远 远大 于 其 不 太 明 显 的 优点 所 带 来 的 好 处 ,因此 仅 
有 理论 上 探讨 的 价值 ,实际 应 用 的 可 行 性 很 小 。 


2.1.2 异步 轮流 方案 


既然 时 钟 同步 方案 采用 的 均 分 时 间 片 方式 存在 严重 浪费 资源 等 缺陷 ,不妨 换 一 个 思路 ， 
采用 异步 控制 方法 ,使 宝贵 的 通信 资源 不 是 事先 被 均 分 ,而 是 体现 按 需 分 配 思想 ,可 能 更 具 
有 合理 性 。 

如 图 2. 2 所 示 ,计算 机 设备 SS:*…S, 依 次 轮流 发 送 数据 ,约定 从 S; 开始 ,每 个 设备 每 次 
发 送 一 个 数据 报 文 ,然后 交 由 下 一 个 设备 发 送 , 依 次 轮流 下 去 ,并 循环 往复 。 

有 一 个 显而易见 的 问题 : 某 台 计算 机 设备 被 轮 到 时 , 却 没有 数据 可 发 ,应 如 何 处 理 ? 可 
能 的 办 法 是 : 不 做 任何 动作 ,或 发 送 一 个 空 报 文 ,或 稍 作 等 待 。 

试想 :“ 下 一 台 ” 计 算 机 设备 是 如 何 知道 "上 一 台 ” 计 算 机 设备 已 经 发 送 完 毕 了 ? 提示 : 
可 以 从 数据 报 文 构成 的 角度 去 考虑 。 
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图 2.2 异步 轮 询 的 共享 网 络 方案 示意 


异步 轮流 方案 具有 如 下 优点 。 

(1) 控制 方法 十 分 直观 而 简单 ,不 需要 执行 专门 的 协议 。 

(2) 所 有 设备 都 是 平等 的 ,无 须 控 制 中 心 这 样 一 种 特殊 设备 。 

(3) 任何 一 台 设 备 损坏 (除非 是 干扰 信道 的 故障 ) 基 本 不 会 影响 网 络 的 正常 运行 。 

(4) 信道 空闲 等 待 时 间 较 少 、 利 用 效率 较 高 ,遵循 了 信道 资源 “ 按 需 分 配 ” 原 则 。 

异步 轮流 方案 具有 如 下 缺点 。 

(1) 严格 的 轮流 发 送 规则 还 是 容易 造成 不 必要 的 信道 资源 浪费 ,尤其 是 在 发 送 任务 不 


均衡 的 情形 下 ,信道 利用 率 将 有 和 较 大 程度 的 降低 。 


(2) 计算 机 设备 的 增 减 仍然 会 对 系统 中 其 他 设备 产生 影响 ,可 能 需要 修改 所 有 其 他 设 


备 的 配置 。 


异步 轮流 方案 的 最 大 缺陷 在 于 把 问题 过 于 简单 化 , 它 试图 通过 不 同 的 技术 路 线 解决 时 


钟 同步 方案 存在 的 问题 ,实际 上 并 没有 完全 解决 ,还 带 来 了 难以 控制 和 管理 的 新 问题 。 因 
此 ,异步 轮流 方案 也 仅 限 于 理论 探讨 上 的 意义 。 


2.1.3 主 从 轮 询 方案 


从 所 有 计算 机 设备 中 选取 (指定 ) 一 个 设备 互 为 主 设备 ,或 称 主 站 (Primary Station)， 


其 他 设备 S1S,…S, 均 为 从 设备 (Slave) 或 称 从 站 (Secondary Station) ,如 图 2. 3 所 示 , 可 据 
此 设计 共享 网 络 的 主 从 轮 询 方案 。 


的 : 


图 2.3 主 从 轮 询 的 共享 网 络 方案 示意 


主 站 及 可 向 所 有 从 站 发 送 数 据 ,从 站 通常 只 能 向 主 站 发 送 数 据 , 这 个 过 程 是 这 样 完成 
主 站 向 从 站 发 送 探 询 报 文 ,询问 从 站 是 否 有 数据 发 送 , 若 有 ,从 站 发 送 数据 ,否则 发 送 空 


报 文 或 其 他 控制 报 文 。 
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思考 ; 

(1) 按照 上 述 算法 ,从 站 间 如 何 实现 相互 通信 ? 

(2) 为 提高 通信 效率 ,从 站 被 允许 发 送 数 据 后 ,能 否 连续 发 送 多 个 数据 帧 ?9 如 何 进行 ? 

(3) 能 否 改进 协议 使 得 从 站 间 可 以 直接 通信 ? 需要 满足 什么 条 件 ? 

考察 卫星 通信 网 络 (Satellite Network) ,卫星 是 天 然 的 主 站 ,地 面 站 均 为 从 站 ,因为 地 
面 站 的 碟 形 天 线 正 对 卫星 ,只 能 与 卫星 通信 ,而 地 面 站 之 间 相 隔 遥 远 ,难以 相互 通信 。 再 例 
如 安保 网 络 中 ,星罗棋布 的 安保 探头 (包括 摄像 机 、 各 式 传感器 ) 需 要 实时 向 监控 中 心 报告 探 
测 到 的 状况 ,监控 主机 自然 是 主 站 ,安保 监测 点 部 署 的 微型 控制 器 就 是 从 站 。 

选择 主 站 在 技术 上 通常 基于 性 能 需求 的 不 对 称 性 。 主 站 要 求 具有 较 好 性 能 ,智能 程度 
和 复杂 程度 都 相对 较 高 ,从 站 则 性 能 要 求 较 低 。 利 用 好 这 个 特性 对 某 些 应 用 系统 规划 是 非 
常 有 益 的 ,大 量 从 站 可 采用 低 成 本 的 设计 ,从 而 有 效 提高 系统 整体 的 性 能 价格 比 。 

主 从 轮 询 方案 具有 如 下 优点 。 

(1) 系统 结构 稳定 而 清晰 ,有 利于 通信 协议 的 标准 化 ; 

(2) 由 主 站 完全 控制 全 局 ,不 易 出 现 控 制 失常 而 导致 通信 混乱 ; 

(3) 协议 可 优化 潜力 大 ,可 高 效 地 利用 信道 资源 ; 

(4) 方便 增删 计算 机 设备 ,只 需 设 定 主 站 即 可 完成 添加 和 删除 操作 ,该 操作 与 大 量 从 站 
完全 无 关 。 

主 从 轮 询 方案 具有 如 下 缺点 。 

(1) 系统 存在 明显 的 单 点 故障 (Single-Point Fault,SPF)。 若 主 站 发 生 故 障 ,整个 网 络 

(2) 协议 具有 非 对 称 性 ,提高 了 协议 机 设计 成 本 。 

(3) 鉴于 轮 询 机 制 , 系 统 规模 受到 较 大 限制 。 大 规模 系统 中 对 大 量 从 站 的 轮 询 操作 将 
严重 降低 运行 效率 。 

主 从 轮 询 方案 是 一 个 有 实际 意义 的 方案 ,依据 系统 要 求 的 不 同 可 有 多 种 技术 上 的 变化 。 
比较 有 代表 性 的 主 从 控制 协议 是 HDLC。 


2.1.4 令 牌 传递 方案 


借鉴 中 国 古代 将 军 排 兵 布 阵 时 的 做 法 ,将 一 块 令 牌 (token) 授 予 任务 执行 官 ,取得 令 牌 
就 等 于 获得 授权 ,就 有 发 号 施 令 的 资格 。 共 享 网 络 中 也 可 通过 令 牌 来 授予 和 限定 发 送 数据 
的 权力 。 

定义 一 个 共享 网 络 系统 中 有 了 唯一 的 令 牌 。 当 某 个 计算 机 设备 握 有 令 牌 时 ,就 拥有 了 发 
送 数 据 的 权限 ; 当 发 送 任 务 结 束 后 ,通过 一 定 的 令 牌 交换 机 制 ,把 令 牌 传递 给 下 一 个 设备 。 

令 牌 传递 方法 的 基本 算法 相当 简单 ,但 实际 情况 下 还 是 有 许多 有 待 谨慎 处 理 的 问题 。 

(1) 如 何 初始 化 令 牌 ,让 第 一 个 设备 握 有 令 牌 ? 

(2) 如 何 始 终 严 格 保持 系统 中 令 牌 的 唯一 性 ? 

(3) 如 何 发 现 令 牌 丢失 ? 丢失 后 如 何 恢复 ? 

(4) 如 何 处 理 系统 故障 造成 出 现 两 个 或 两 个 以 上 令 牌 的 情况 ? 

(5) 如 何 确 定 下 一 个 令 牌 持 有 者 ?如 果 该 设备 恰好 发 生 故 障 怎么 办 ? 
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(6) 如 何 向 系统 中 添加 或 删除 成 员 ? 

上 述 问题 都 是 设计 协议 时 无 法 规避 不 能 忽略 的 ,解决 这 些 问 题 的 过 程 就 形成 了 协议 中 
不 可 或 缺 的 异常 处 理 部 分 。 虽 然 异 常 处 理 往往 会 很 烦琐 、 很 艰难 ,但 无 疑 是 保证 网 络 系统 在 
任何 情况 下 都 能 够 正常 运行 的 必要 条 件 。 

令 牌 传递 方案 具有 如 下 优点 。 

(1) 采用 令 牌 控制 发 送 权限 ,机 制 严密 、. 规 则 清晰 ; 

(2) 可 以 按 需 分 配 通 信 资 源 ; 

(3) 协议 能 够 达到 较 高 的 执行 效率 ,适用 于 高 速 网 络 。 

令 牌 传递 方案 具有 如 下 缺点 。 

(1) 有 效 控制 和 管理 令 牌 是 一 项 挑战 ,协议 的 复杂 性 程度 较 高 ; 

(2) 增 减 站 点 将 影响 系统 的 其 他 计算 机 设备 ; 

(3) 如 果 处 理 不 当 , 令 牌 可 能 是 系统 的 单 点 故障 所 在 ; 

(4) 对 信道 质量 要 求 比较 高 ,光纤 传输 是 最 佳 选择 。 

令 牌 传递 方案 以 其 算法 的 严密 性 而 获得 认可 ,实际 运用 该 方案 的 有 令 牌 总 线 (Token 
Bus) 和 令 牌 环 (Token Ring) 等 网 络 ( 如 图 2.4 所 示 ) ,IEEE 在 局 域 网 协议 中 制定 的 标准 为 


802.4 和 802. 5。 
Ww S 
sa | ,无 发 送 权 


Token Bus 


SS “中 
5 8 


On 


图 2.4 令 牌 总 线 和 令 牌 环 网 络 示 意 


2.1.5 ”自由 竞争 方案 


市 场 经 济 中 的 自由 竞争 ,如 果 有 法 律 法 规 的 约束 和 公平 透明 的 监管 ,是 形成 健康 、 繁 荣 
的 市 场 的 基础 。 共 享 网 络 环境 下 ,也 可 以 让 计算 机 设备 自由 竞争 信道 资源 ,如 果 采 用 合理 的 
机 制 ,就 可 用 较 小 的 代价 达到 简化 管理 成 本 、 按 需 分 配 资源 的 目的 。 
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如 图 2. 5 所 示 ,简单 的 自由 竞争 方案 为 : 有 发 送 任务 的 计算 机 设备 侦 测 共享 信道 ,发 现 
信道 空闲 , 则 启动 发 送 ; 在 发 送 的 同时 检测 是 否 有 碰撞 (其 他 计算 机 设备 同时 启动 了 发 送 )， 


如 果 发 现 冲突 , 则 取消 本 次 发 送 , 重 新 侦 测 信道 。 
§ 号 9 


号 | eR 
起 六 


图 2.5 自由 竞争 共享 总 线 示意 


考察 这 一 方案 可 以 发 现 ,自由 竞争 其 实 是 一 种 有 序 的 竞争 ,站 点 的 发 送行 为 具有 自主 
性 、 自 发 性 ,然而 所 有 站 点 都 遵循 特定 规则 ,属于 分 布 式 控制 技术 。 

自由 竞争 方案 具有 如 下 优点 。 

(1) 所 有 站 点 都 是 对 等 的 (平等 的 ), 没 有 主 从 之 分 ,每 台 计算 机 设备 都 采用 完全 相同 的 
协议 机 ,有 利于 标准 化 ; 

(2) 易于 采用 硬件 和 固件 来 实现 算法 , 既 提 高 了 效率 ,又 降低 了 成 本 ; 

(3) 加 入 和 撤销 计算 机 设备 非常 简单 ,可 以 随时 地 ,在 线 地 进行 ,不 影响 系统 中 其 他 
设备 。 

自由 竞争 方案 具有 如 下 缺点 。 

(1) 网 络 规模 受到 一 定 限 制 。 在 共享 网 络 中 计算 机 设备 数量 达到 一 定 程度 后 ,碰撞 概 
率 提 高 ,将 导致 发 送 成 功率 急剧 降低 甚至 系统 崩溃 。 

(2) 网 络 覆 盖 范 围 也 具有 一 定 限 制 。 由 于 该 方案 采用 信道 状态 侦 测 方法 , 随 着 信道 距 
离 不 断 延 长 ,电信 和 号 的 传输 延迟 就 无 法 忽略 不 计 了 ,这 样 ,状态 侦 测 的 有 效 性 就 大 打折 扣 ,使 
碰撞 不 容易 避免 。 正 因为 如 此 ,该 方案 通常 应 用 于 以 太 网 等 局 域 网 技术 中 。 


2.1.6 带 外 信 令 方案 


尝试 跳出 共享 网 络 环境 的 条 条 框框 ,或 许 思路 会 变 得 更 宽 。 基 本 想法 是 增加 一 套 带 外 

信 令 网 络 (Signalling Network) ,用 以 控制 报 文 发 送行 为 。 
信 令 (signalling) 是 一 种 控制 信号 或 控制 报 文 , 有 别 于 承载 用 户 信息 的 数据 报 文 ,用 于 
管理 呼叫 建立 、 用 户 身份 识别 、 呼 叫 拆除 、 计 费 信息 等 。 信 令 网 络 专用 于 传递 信 令 ,是 电信 运 
营 商 网 络 的 重要 组 成 部 分 ,为 提供 话 务 的 电信 级 服务 质量 起 到 关键 作用 。 如 今 逐 渐 把 信和 令 
的 概念 和 功能 移植 到 计算 机 网 络 中 。 

带 外 (out-of-band) 传 输 是 指使 用 独立 的 网 络 来 传输 信息 ,不 占用 主体 网 络 的 带宽 资源 。 
相对 而 言 , 如 果 占 用 主体 网 络 的 带宽 资源 传输 相关 信息 ,就 属于 带 内 (in-band) 传 输 。 对 了 
信 令 传输 而 言 ,通常 需要 区 分 带 内 传输 方式 还 是 带 外 传输 方式 ,以 评价 信 令 传输 是 否 会 与 主 
体 网 络 产生 相互 干扰 。 

思考 : 共享 网 络 环境 下 是 否 可 以 采用 带 内 传输 信 令 的 方法 ? 


n 
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如 图 2. 6 所 示 ,共享 网 络 带 外 信和 令 方 案 的 运作 逻辑 是 : 通过 信 令 网 络 的 协调 ,控制 每 个 
站 点 的 报 文 发 送 动作 ,以 保证 同一 时 间 只 有 一 个 设备 在 共享 网 络 上 发 送 数据 。 


壮 避 少 赤 


图 2.6 带 外 信 令 网 络 示意 


带 外 信 令 方案 具有 如 下 优点 。 

(1) 控制 巡 辑 清晰 \ 有 效 , 系 统 稳定 性 .可 靠 性 较 高 ,而 且 控制 信息 不 占用 网 络 有 效 带 
宽 , 提 高 了 通信 资源 利用 率 ; 

(2) 所 有 发 送 设备 地 位 均等 ,无 主 从 属性 之 分 ,每 台 设 备 可 采用 相同 的 协议 机 实现 ,有 
利于 标准 化 ; 

(3) 如 果 信 令 控 制 协 议 设计 得 当 , 设 备 增删 不 影响 系统 中 的 其 他 设备 。 

带 外 信和 令 方案 具有 如 下 缺点 。 

(1) 独立 的 信 令 网 络 大 大 增加 系统 复杂 性 和 成 本 ; 

(2) 一 旦 信 令 网 络 失效 ,系统 将 彻底 瘫痪 , 即 信 令 网 络 可 能 成 为 系统 的 单 点 故障 源 。 

比较 带 外 信 令 方案 与 时 间 同 步 方案 ,可 以 发 现 : 时 间 同 步 方 案 是 一 种 特殊 的 带 外 信 令 
方式 ,因为 时 间 就 是 独立 于 共享 网 络 的 控制 机 制 。 另 外 , 令 牌 方案 也 等 同 于 信 令 控制 方法 ， 
但 是 没有 设置 信 令 网 络 , 令 牌 就 在 主体 网 络 中 传输 ,应 属于 带 内 传输 方式 。 

由 此 引出 一 个 值得 思考 的 问题 : 既然 信 令 也 是 一 种 报 文 ,那么 ,如 果 在 共享 网 络 中 采用 
带 内 传输 方式 ,是 否 本 身 也 会 发 生 冲突 等 问题 ? 

事实 上 ,类 似 于 令 牌 方案 的 解决 办 法 , 带 内 信 令 是 可 行 的 ,其 实现 原理 和 技术 途径 分 析 如 下 。 

第 一 ,时 分 (time-division) 方 法 。 初 始 时 ,共享 网 络 传输 信 令 报 文 ,然后 在 信 令 的 控制 下 
进入 数据 传输 状态 ,接着 又 返回 信 令 传输 状态 ,如 此 周而复始 。 

第 二 , 背 载 (piggy-back) 方 法 。 在 数据 传输 过 程 中 ,数据 报 文中 附加 了 信和 令 , 该 信 令 用 
以 控制 后 续 的 传输 过 程 。 网 络 协议 中 常用 的 撒 带 确认 机 制 就 是 运用 了 背 载 技术 。 

比较 上 述 两 个 方法 ,前 者 的 信 令 系统 独立 性 较 强 ,因此 控制 逻辑 不 容易 因 突 发 异常 事件 
而 发 生 混乱 ,后 者 的 算法 复杂 性 比较 高 ,但 通信 效率 也 会 相对 较 高 。 两 者 结合 可 以 使 信 令 控 
制 系统 更 为 完善 。 


2.2 ”Ethernet 协议 原理 


以 太 (Ether) 是 一 种 假想 的 空间 电磁 波 传输 介质 ,用 于 命名 以 太 网 ,而 以 太 网 却 是 实 实 
在 在 的 存在 。 
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以 太 网 的 本 质 是 共享 网 络 ,技术 核心 是 从 Aloha 协议 发 展 而 来 的 CSMA/CD 算法 ,类 
似 于 2.1.5 节 讨论 的 自由 竞争 方案 。 如 图 2.7 所 示 , 以 太 网 协议 包括 数据 链 路 层 和 物理 层 ， 
相关 技术 标准 主要 由 IEEE 802.1~IEEE 802. 3 定义。 


网 络 层 L3 协 议 || IPX | IP 


IEEE 802.2 LLC 1 
数据 链 路 层 ' 一 一 一 一 一 一 F i a 


IEEE 802.3 MAC 
Pe ‘ Ethernet 


IEEE 802.3 CDMA/CD PHY 


图 2.7 ”Ethernet 协议 栈 结构 示意 


2.2.1 Aloha 协议 


Aloha 是 夏威夷 人 相互 打招呼 的 问候 语 , 类 似 Hi、Ciao、 吃 了 吗 。 如 果 把 计算 机 部 署 在 
夏威夷 群岛 的 各 个 小 岛 上 ,那么 计算 机 网 络 的 作用 就 是 把 小 岛 连 为 一 体 , 人 们 可 以 相互 问 
候 、 相 互通 信 。 

共享 信道 通信 技术 的 研究 源 自 夏威夷 大 学 ,以 Aloha 来 作为 协议 名 称 显得 顺理成章 。 
Aloha 协议 主要 面向 无 线 信道 通信 ,但 同样 适用 于 有 线 通信 ,其 共性 是 共享 网 络 通信 方式 ， 
即 任意 一 个 结 点 都 可 使 用 信道 说 Aloha, 其 他 结 点 都 可 听 得 到 ,然而 , 当 两 个 结 点 不 约 而 同 
地 说 Aloha 时 ,就 会 发 生 谁 也 听 不 清 谁 的 情况 , 即 产生 信道 争 用 (发 送 冲突 ) 。Aloha 协议 的 
核心 目标 正 是 解决 冲突 问题 ,使 相互 间 友 好 的 问候 能 够 畅通 无 阻 。 

夏威夷 大 学 的 研究 成 果 是 成 功 地 用 无 线 信道 互 连 了 各 个 小 岛 上 的 计算 机 ,让 数字 化 的 
Aloha 得 以 漂 洋 过 海 。Aloha 协议 后 来 成 为 采用 总 线 通信 方式 的 Ethernet 技术 的 鼻祖 。 

纯 Aloha 协议 (Pure Aloha) 采 用 随机 接 和 方法 。 当 结 点 有 数据 需要 传送 时 ,如 果 信 道 
空闲 ,会 立即 启动 发 送 ; 如 果 接 收 方正 确 收 到 数据 ,响应 ACK 确认 ; 如 果 接 收 数据 有 误 , 则 
回复 NACK。 当 网 络 上 的 两 个 结 点 同时 向 信道 发 送 数据 的 时 候 , 冲 突 产 生 ; 两 个 结 点 发 现 
碰撞 后 都 终止 发 送 ,并 停止 一 段 随机 时 间 , 然 后 再 次 尝试 传送 。 

纯 Aloha 难以 应 对 过 多 的 冲突 ,改进 方法 为 时 隙 Aloha 协议 (Slotted Aloha)。 时 际 
Aloha 把 信道 在 时 间 轴 上 进行 分 段 ,形成 时 间 片 ,在 满足 发 送 条 件 的 前 提 下 ,每 个 发 送 者 只 
能 在 一 个 分 段 ( 时 际 ) 的 开始 处 进行 传送 ,每 次 传送 的 数据 必须 少 于 或 者 等 于 一 个 时 际 。 这 
样 在 很 大 程度 上 避免 了 用 户 发 送 数据 的 随意 性 , 减 小 了 传输 冲突 发 生 的 概率 。 


2.2.2 CSMA/CD 算法 


带 冲 突 检测 的 载波 侦 听 多 址 访问 (CarrierSense Multiple Access with Collision Detection ， 
CSMA/CD) 是 Ethernet 物理 层 采用 的 数据 发 送 控制 技术 ,用 于 共享 媒介 上 多 点 设备 通信 ， 
解决 信道 争 用 问题 ,并 实现 站 点 平等 接 人 和 分 布 式 接 人 控制 。 

在 同一 条 半 双 工 总 线 上 ,为 防止 两 台 以 上 设备 同时 发 送 数据 造成 冲突 ,CSMAVCD 采用 
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载波 侦 听 技术 检测 信道 是 否 空闲 或 发 生 碰 撞 。 如 果 一 台 连 网 设备 从 信道 上 可 提取 到 曼 彻 斯 
特 编码 的 信号 ,说 明 有 其 他 设备 正在 占用 信道 ,该 设备 就 应 规避 发 送 ; 如 果 联网 设备 在 发 送 
信息 的 同时 检测 到 信道 的 信号 电压 及 其 波动 超过 门限 值 ( 由 多 路 电压 全 加 引起 ) ,说 明 发 生 
了 碰撞 现象 ,碰撞 的 报 文 无 法 被 站 点 正常 接收 ,本 次 发 送 失 败 。 

理想 情况 下 ,碰撞 一 旦 发 生 就 会 被 所 有 站 点 发 觉 , 但 实际 情况 较为 复杂 ,在 高 速 传输 中 ， 
存在 感知 滞后 和 先后 等 问题 。 为 了 保证 CSMA/CD 能 够 正确 检测 到 冲突 ,应 关注 电信 和 号 的 
延迟 ,虽然 延迟 极其 微小 。 

已 知 在 电缆 中 电磁 波 传送 速度 约 为 200m/ps, 也 即 传送 1km 需 耗 时 5ps, 则 形成 如 
图 2. 8 所 示 的 碰撞 检测 时 序 。 


( U 以 天 网 总 线 〇 
A I ee es a ee es pe 
一 从 


(De0 
A 检测 到 信道 空闲 
(2) Fa-6 
C 检 测 到 信道 空闲 
(3) Fa6l2 
碰撞 发 生 时 刻 

(4) a 
C 检 测 到 发 生 碰撞 
(5) (=20-6 

人 检测 到 发 竺 碰撞 


图 2.8 信号 传播 时 延 和 碰撞 时 序 


设 相距 最 远 的 站 点 距离 为 Sm, 其 间 信 号 传播 时 延 为 Tas, 则 有 


S 一 6 
= 之 X 10 
一 300 关 1 


又 设 报 文 长 度 为 Lb, 带宽 为 Bb/s, 则 报 文 传输 时 长 Ts 为 


L 
T= 天 


根据 图 2. 8 所 示 的 碰撞 时 序 , 最 坏 情 况 是 当 A 发 送 的 报 文 传送 到 C 位 置 的 瞬间 (6 一 0)， 
即 :二 a 时 ,C 启动 了 发 送 ,此 时 A 的 报 文正 好 填 满 整个 信道 ,如 果 A 在 这 个 时 刻 之 前 已 经 
完成 该 报 文 发 送 ( 报 文 过 短 ), 即 T, 二 Ts 二 a, 那 么 ,A 将 因此 无 法 了 解 发 送 的 报 文 已 经 因为 
碰撞 而 报废 。 所 以 ,应 有 T, 宇 Ts 二 a。 

进一步 地 ,从 最 坏 情 况 的 碰撞 到 A 检测 到 碰撞 ,还 需 经 过 a 时间, 故 对 A 的 报 文 的 约束 
还 应 该 加 强 ,应 为 T, 宇 2Ts 一 24。 则 报 文 长 度 需 满足 


2XBXS、 


5 ri i 
L>° 700 X10 BxSx10 
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例如 , 当 最 远 距 离 为 3km, 带 宽 为 10Mb/s 时 ,有 工 写 300b, 即 要 求 这 种 条 件 下 最 短 报 文 
长 度 应 该 在 38B 以 上 。 考 虑 信道 上 信号 中 继 器 (如 放大 器 ) 等 产生 的 时 延 以 及 给 予 一 定 的 
宽 限量 ,同等 条 件 下 应 要 求 更 大 的 最 小 报 文 长 度 , 例 如 64B。 

这 里 2a 称 为 争 用 期 (Contention Period) 或 碰撞 窗口 (Collision Window) ,是 CSMA/ 
CD 必须 关注 的 重要 微观 现象 。 

CSMA/CD 算法 流程 如 下 。 

(1) 用 载波 侦 听 方法 检测 信道 是 否 空闲 。 

Q@ 若 空闲 ,进入 下 一 步 。 

@ 若 忙 , 等 待 并 继续 侦 听 信道 。 

(2) 发 送 数据 ,同时 监测 信道 冲突 。 

@ 若 监测 到 冲突 ,进入 下 一 步 。 

@ 若 成 功 发 送 完毕 前 未 监测 到 发 生 冲 突 , 成 功 完成 ,结束 。 

(3) 中 止 本 次 发 送 (发 送 一 段 干扰 信号 ,告知 其 他 设备 碰撞 已 发 生 ) ,回收 报 文 准备 重 
发 ,进入 下 一 步 。 

(4) 等 待 退 避 时 间 Tv ,返回 第 (1) 步 。 

算法 中 退 避 时 间 T, 非 常 关键 ,否则 ,假如 因 碰 撞 而 发 送 失 败 后 立即 转 入 重 发 , 则 两 台 
(或 多 台 ) 已 发 生 冲 突 的 站 点 将 会 同步 进入 下 一 轮 发 送 ,导致 发 生 下 一 次 碰撞 的 概率 大 大 提 
高 ,很 容易 进入 发 送 习 碰撞 习 重 新 发 送 一 青 次 碰撞 的 死 循 环 。 

CSMA/CD 采用 截断 二 进 制 指数 类 型 的 退 避 算法 来 动态 确定 T, ,以 期 降低 再 次 碰撞 发 
生 的 概率 。 

T, 的 取 值 方法 为 : 

(1) 设 To 二 2a( 以 太 网 实际 取 值 To 为 51. 2ps); 

(2) 若 重 传 次 数 为 R, 取 k= 二 min{R,10} (可知 R 越 大 则 k 越 大 ,但 最 大 为 10; 当 R 宇 16 
后 ,取消 该 报 文 发 送 ); 

(3) 设 rE10, 1,…， 2 一 1},r 为 随机 选取 ; 

(4) 计算 T,= rxXT,。 


2.2.3 MAC 协议 


媒介 访问 控制 (Medium Access Control,MAC) 协 议和 逻辑 链 路 控制 (Logic Link 
Control,LLC) 协 议 分 别 是 Ethernet 数据 链 路 层 的 两 个 子 层 。 
Ethernet V2 标准 定义 的 MAC 帧 格式 如 图 2. 9 所 示 。 


物理 层 数据 链 路 层 (MAC 帧 ) 
了 Sh 
同步 码 EE 目的 地 址 | 源 地 址 类 型 | 数据 (如 IP 报 文 ) FCS 
7B 1B 6B 6B 2B 46~1500B 4B 
| 1 上 层 协议 类 型 
10101011 例 : 0x0800~ 数据 为 IP 报 文 
10101010…10101010 (不 小 于 0x0600, 区 别 于 LLC 长 度 字段 ) 


图 2.9 Ethernet V2 的 MAC 帧 格式 
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MAC 帧 中 最 主要 的 字段 就 是 MAC 地 址 ,包括 目的 地 址 和 源 地 址 。MAC 地 址 由 6B 
(48b) 构 成 ,具有 分 段 管理 结构 (如 图 2. 10 所 示 ) ,用 来 唯一 标识 接 和 人 Ethernet 的 计算 机 
(网 卡 )。IEEE 的 注册 管理 委员 会 (Registration Authority Committee,RAC) 负责 全 球 的 
MAC 地 址 管理 , 分配 最 高 位 的 3B (24b) 机构 唯一 标识 符 (Organizationally Unique 
Identifier,OUD) ,或 称 公司 标识 符 (company ID)。 后 3B 为 机 构 ( 生 产 商 ) 自行 分 配 的 扩展 标 
识 符 (extended ID), 只 需 保证 在 自己 的 产品 中 唯一 即 可 。 由 于 MAC 地 址 往往 被 固化 在 
Ethernet 网 卡 中 ,因此 常 被 称 做 硬件 地 址 、 物 理 地 址 。 


OUI(company ID) extended ID 


47|32 39|24 31|16 2318 15|10 
第 2 字 节 | 第 3 字 节 | 着 亲人 | 交 5 亲 和 | 弟 6 字 池 


bGLbNA)  --——— 一 信道 上 比特 发 送 顺 序 (每 字 节 的 最 低 比特 先 发 送 ) 


例 一 |00110101 O1111011 | 00010010 | 00000000 | 00000000 | 00000001 | 
OxAC 0xDE 0x48 0x00 0x00 0x80 
MAC 地 址 : AC-DE-48-00-00-80 


图 2.10 MAC 地 址 结构 


此 外 ,IEEE 规定 ,地 址 的 第 一 个 字 节 的 最 低 比特 为 1/G(Individual/Group), 如 图 2. 10 
所 示 , 当 1/G==0 时 ,为 单个 站 地 址 (相当 于 IP 的 单 播 地 址 ); 当 I/G==1 时 ,为 组 地 址 (相当 
于 IP 的 组 播 地 址 )。 当 MAC 地 址 为 全 1 时 ,为 广播 地 址 。 

还 有 一 个 几乎 不 使 用 的 规定 ,第 1 字 节 的 最 低 第 2 比特 为 G/L(Global/Local), 当 
G/L=1 时 ,为 全 球 管理 ; 当 G/L=0 时 ,为 本 地 管理 。 

在 共享 信道 上 ,每 一 台 计算 机 都 可 接收 所 有 帧 。Ethernet 网 卡 对 接收 到 的 每 一 个 帧 检 
查 MAC 目的 地 址 ,车 为 与 本 机 MAC 地 址 相符 的 单 播 帧 .广播 帧 或 可 识别 的 多 播 帧 , 则 接 
受 该 帧 并 进一步 处 理 , 和 否则 丢弃 之 。 

IEEE 802.2 定义 了 LLC 子 层 , 由 3B 帧 头 组 成 , 插 在 MAC 帧 头 之 后 的 数据 字段 中 (如 
图 2. 11 所 示 ) ,可 见 LLC 子 层 在 MAC 子 层 之 上 。 


LLC 帧 


MAC 帧 
2B TB 43~1497B 4B 
Is) 
小 于 0x0600 LLC 帧 头 3B 


图 2.11 LLC 帧 格式 


DSAP 字段 为 1B 的 目的 服务 访问 点 ,指出 LLC 的 数据 应 递交 的 上 层 协议 ; SSAP 字段 
为 1B 的 源 服务 访问 点 ,指出 发 送 数 据 的 上 层 协议 ; 控制 字段 为 LLC 帧 的 类 型 。 但 如 今 网 
络 层 几乎 都 使 用 IP, 支 持 上 层 多 协议 (如 IPX 等 协议 ) 的 LLC 已 无 应 用 价值 ,因此 不 再 
使 用 。 
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2.3 Ethernet 组 网 


以 太 网 技术 在 多 年 的 应 用 中 不 断 地 变化 着 .改进 着 .发展 着 ,为 自身 的 生存 奠定 了 基础 ， 
也 推动 了 应 用 能 力 的 提高 。 

以 太 网 的 变化 主要 是 在 两 个 方面 : 带宽 的 变化 ,联网 形式 的 变化 。 

带宽 是 体现 网 络 能 力 的 最 为 重要 的 指标 。 因 此 ,带宽 的 提升 贯穿 了 以 太 网 技术 发 展 的 
整个 过 程 。 从 最 初 的 10Mb/s, 到 100Mb/s 的 快速 以 太 网 (Fast Ethernet,FE) ,再 到 1Gb/s 
的 千 兆 以 太 网 (Giga-Ethernet,GE) ,实现 了 数量 级 上 的 跨越 ,而 且 在 相同 媒介 上 是 向 下 兼容 
的 ,最 大 限度 地 保护 了 已 有 投入 。 通 信 媒 介 也 覆盖 了 双 绞 线 、 同 轴 电 线 、 光 纤 这 三 种 有 线 通 
信 的 主要 介质 ,甚至 已 经 扩展 到 无 线 通信 和 领域 。 这 正 是 人 们 对 以 太 网 充满 热情 ,充满 信心 、 
充满 期 待 , 也 充满 感激 的 原因 所 在 。 

但 带宽 的 提高 仅仅 是 一 个 方面 ,而 且 只 是 部 分 技术 指标 的 改进 。 我 们 考察 以 太 网 技术 
的 演变 ,其实 从 以 太 网 联网 形式 的 变化 来 看 ,或 许 更 能 说 明 问题 ,印象 也 可 能 更 为 深刻 。 


2.3.1 同 轴 电线 


采用 同 轴 电 绕 (Coax Cable) 来 串 接 计算 机 ,通信 速率 为 190Mb/s, 采 用 10Base2 细 缆 和 
10Base5 粗 缆 , 达 到 实现 互 连 .形成 网 络 的 目的 ,是 最 初 的 以 太 网 联网 方式 。 从 表面 上 看 , 计 
算 机 设备 似乎 是 被 串联 起 来 的 ,而 实际 上 却 是 并 联 的 关系 。 

每 台 联 网 计算 机 都 需要 安装 一 块 以 太 网 网 卡 (NIC) ,具有 物理 接口 电路 ,用 于 完成 接收 
和 发 送 ,包括 数据 编码 和 协议 处 理工 作 。 

如 图 2. 12 所 示 , 当 计算 机 准备 连接 到 以 太 网 时 ,需要 在 
同 轴 电 缆 上 嵌入 一 个 工 形 接头 ,在 保持 原 有 线路 贯通 的 同 
时 ,把 新 的 计算 机 设备 并 联 到 线路 上 。 因 此 ,所 有 连接 到 同 
条 同 轴 电 缆 的 计算 机 将 共同 占有 同一 传输 空间 。 

同 轴 电 缆 联 网 方式 有 其 简洁 、 方 便 的 优点 。 所 有 计算 机 
设备 ,包括 服务 器 和 终端 ,都 处 于 同等 的 地 位 ,便于 网 络 的 部 
署 和 维护 ,增加 和 减少 设备 比较 方便 ,甚至 可 以 在 系统 运行 中 
进行 操作 。 单 一 设备 的 故障 (除非 是 发 送 电路 故障 引起 线路 。 图? 12 以 大 网 同 轴 电 名 
上 信号 亲 乱 ) 一 般 不 会 影响 整体 网 络 的 正常 运行 ,不 会 导致 灾 联网 方式 
难 蔓延 

但 是 , 同 轴 电 缆 的 联网 方式 还 是 存在 明显 的 不 足 。 

(1) 线路 的 布局 受到 较 大 制约 ,难以 灵活 调整 。 

(2) 增加 设备 时 形 接头 制作 难度 较 大 、 要 求 较 高 , 且 容 易 损坏 ,还 容易 造成 线路 连接 
不 良 ,严重 的 将 造成 断 线 。 

(3) 同 轴 电 缆 成 本 较 高 。 

(4) 受 限于 同 轴 电 缆 长 度 ,网 络 覆 盖 的 范围 十 分 有 限 。 

(5) 同 轴 电 缆 本 身 是 单 点 故障 易 发 点 。 

(6) 如 图 2. 13 所 示 , 随 着 通信 速率 的 提高 , 同 轴 电 缆 的 通信 效率 会 大 大 降低 。 
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(7) 如 图 2. 14 所 示 , 随 着 线路 上 设备 数 的 增多 ,冲突 增加 ,将 导致 网 络 通信 效率 急剧 下 
降 , 最 终 可 能 引起 瘫痪 。 


~ 
< 
惠 
路 
0 10 100 1000 速率 (Mb/s) 0 10 20 30 40 50 60 设备 数 
图 2.13 以 太 网 吞吐 量 与 速率 关系 图 2.14 以 太 网 吞吐 量 与 设备 数 关系 


吞吐 量 (throughput) 是 衡量 网 络 通信 效率 的 重要 指标 。 吞 吐 量 区 别 于 速率 或 带宽 , 通 
常 表现 为 一 个 百分比 值 ,表示 网 络 或 线路 的 有 效 载 荷 。 从 严格 的 意义 上 说 ,吞吐 量 一 定 是 小 
于 100% 的 ,因为 通信 线路 上 的 误 码 、 校 验 位 、 分 割 符 以 及 协议 所 需要 的 控制 操作 都 会 占用 
通信 资源 ,造成 有 效 数据 的 传送 无 法 占据 所 有 带宽 资源 。 

以 太 网 的 同 轴 电 缆 组 网 技术 虽然 早已 被 弃置 ,但 在 网 络 发 展 初期 起 到 了 非常 重要 的 作 
用 ,是 后 续 技 术 标 准 的 基础 ,并 以 此 奠定 了 以 太 网 在 网 络 领域 的 领先 地 位 。 


2.3.2 集线器 


集线器 (hub) 用 于 以 太 网 组 网 ,与 同 轴 电 缆 连接 方式 相 比 ,集线器 组 网 技术 存在 两 个 显 
著 的 变化 。 

(1) 以 太 网 集线器 是 技术 飞跃 式 的 创新 ,采用 新 的 10Base-T 标准 。 

(2) 通信 介质 使 用 非 屏蔽 双 绞 线 (Un-shielded Twisted Pair, UTP) ,为 4 芯 铜 线 ,RJ45 
标准 接 插件 。 

最 常用 的 是 五 类 非 屏蔽 双 绞 线 C(UTP5) ,为 八 芯 铜 线 。 在 RJ45 接口 中 : #1、#2 为 橙 
色 线 组 ,#3、#6 为 绿色 线 组 , #4、#5 为 蓝 色 线 组 (未 用 ) ,以 保持 与 RJ11 接口 的 兼容 ， 
#7、#8 为 棕色 组 (未 用 )。 

从 计算 机 端 来 看 , #1、#2 线 组 为 发 送 (Tx), #3、#6 线 组 为 接收 (Rx) ,从 hub 端 看 则 
反 过 来 。 因 此 计算 机 与 hub 的 常规 接线 为 ( 间 1#2 一 间 1 间 2, 提 3 提 6 一 #3#6), 即 通常 所 
说 的 “ 直 连 线 ”, 而 交叉 线 接 法 为 ( 亲 1 间 2 一 间 3 间 6, 间 3 间 6 一 间 1 提 2)。 

集线器 本 质 上 是 一 台 信 号 中 继 器 。 如 图 2. 15 所 示 , 所 有 
计算 机 设备 都 通过 双 绞 线 与 集线器 连接 ,形成 星 型 的 辐射 状 拓 
扑 结构 。 每 台 计算 机 设备 所 发 送 的 信息 ,都 被 集线器 转 接 发 送 
到 所 有 端口 ,传输 给 其 他 计算 机 设备 。 所 以 ,所 有 计算 机 设备 
实际 上 还 是 处 在 共享 信道 的 环境 中 , 即 处 于 同一 个 冲突 域 , 集 
线 器 仅仅 进行 了 数据 信号 的 无 条 件 物 理 转 发 。 

思考 : 集线器 联网 方式 的 以 太 网 属于 何 种 拓扑 结构 ? 

在 以 太 网 的 集线器 组 网 发 展 阶段 ,发 生 的 变化 不 仅 体现 在 
连接 手段 上 ,还 有 一 个 进步 也 是 非常 重要 的 : 通信 速率 从 
图 2.15 以 太 网 集线器 。 10Mb/s 跨越 整整 一 个 数量 级 ,升级 为 100Mb/s, 成 为 快速 以 

组 网 示意 太 网 。 
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一 台 集 线 器 本 身 并 不 能 称 为 网 络 , 只 有 和 计算 机 进行 连接 后 ,才能 形成 网 络 体系 。 集 线 
器 可 以 进行 互 连 , 以 扩展 端口 数量 ,从 而 扩大 联网 规模 。 

相 比 同 轴 电 绕 联网 方式 ,集线器 联网 方式 获得 了 明显 的 进步 。 

(1) 支持 全 双 工 通信 ,在 同一 端口 上 发 送 和 接收 分 离 。 

(2) 组 网 方式 更 为 灵活 多 变 ,各 台 联 网 计算 机 的 地 理 位 置 完 全 不 受 其 他 设备 的 制约 。 

(3) 容易 进行 较 大 范围 的 网 络 覆 盖 。 

(4) 线路 成 本 降低 。 

(5) 消灭 了 同 轴 电缆 方式 在 线路 问题 上 的 单 点 故障 。 

思考 : 为 什么 说 集线器 方式 消除 了 线路 上 的 单 点 故障 ? 

集线器 的 出 现 为 以 太 网 联网 方式 探索 出 一 条 新 的 途径 。 以 往 广域网 联网 才 采 用 的 联网 
设备 技术 在 局 域 网 中 也 得 到 应 用 。 这 种 思路 和 技术 也 引出 了 以 太 网 联网 技术 的 下 一 步 
改进 。 


2.3.3 交换 式 集线器 


集线器 只 是 一 种 物理 层 的 联网 设备 ,有 交换 机 的 外 形 , 却 并 不 具有 数据 交换 的 功能 。 以 
太 网 交换 式 集线器 (Switch Hub) 才 是 真正 意义 上 的 数据 交换 机 。 

以 太 网 交换 式 集线器 的 联网 方式 和 集线器 完全 相同 ,目的 也 和 集线器 类 似 , 仍 然 是 转发 
数据 报 文 , 但 数据 交换 机 将 对 报 文 的 目的 MAC 地 址 字段 进行 识别 ,并 将 报 文 转发 给 指定 端 
口 ,而 不 会 盲目 地 转发 给 其 他 端口 。 由 于 使 用 了 以 太 网 数据 链 路 层 MAC 地 址 进行 转发 ,所 
以 也 被 称 为 二 层 交 换 机 (Layer2 Switch)。 

采用 二 层 交 换 技 术 后 ,以太 网 CSMA/CD 所 固有 的 发 送 冲 突 被 隔离 开 来 ,范围 缩小 到 
计算 机 与 交换 机 端口 之 间 ; 结合 全 双 工 通信 技术 ,冲突 问题 就 完全 解决 了 。 这 是 二 层 交 换 
机 给 以 太 网 技术 带 来 的 最 有 价值 .最 有 意义 的 突破 。 

思考 : 二 层 交 换 机 哪 种 情况 下 还 是 会 出 现 冲 突 问题 ? 

思考 : 二 层 交 换 机 如 何 实现 交换 (基本 工作 原理 )? 

显然 ,排除 了 ”不 属于 自己 的 报 文 ” 的 无 休止 干扰 ,端口 的 利用 率 大 大 提高 ,网 卡 处 理 效 
率 提升 ,数据 安全 性 也 得 到 一 定 程度 的 保障 (防止 窃听 )。 

二 层 交 换 机 也 可 以 相互 连接 而 进行 扩展 ,有 两 种 连接 方法 。 

(1) 级 联 (up-link) 法 : 形成 交换 机 的 树 状 互 连 结 构 。 

(2) 堆 释 (stacking) 法 : 使 用 特殊 的 专用 高 性 能 堆 释 端口 ,相互 组 合 ,成 为 一 台 拥 有 更 
多 端口 的 交换 机 。 

思考 : 级 联 法 和 堆 登 法 的 转发 列表 有 何 差别 ? 在 组 网 应 用 上 有 何 差别 ? 

在 二 层 交换 机 基础 上 ,通信 媒介 可 扩展 到 光纤 。 同 时 ,因为 二 层 交 换 机 拥有 微 处 理 器 而 
具备 计算 能 力 , 所 以 一 些 交 换 机 提供 了 网 络 管理 功能 ,可 以 进行 远程 配置 .故障 诊断 、 安 全 设 
置 .数据 统计 等 网 络 维护 工作 。 

利用 二 层 交 换 机 ,可 以 在 网 络 中 规划 出 特殊 的 子 网 ,如 VLAN ,将 数据 交换 限定 在 
VLAN 范围 内 ,内 到 外 ,外 到 内 的 数据 交换 都 是 受 控 的 。VLAN 的 划分 限制 了 不 安全 的 访 
问 操作 ,并 且 可 以 防止 第 二 层 广播 风暴 (Broadcast Storm) 的 发 生 和 蔓延 。 
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2.3.4 三 层 交 换 机 


三 层 交换 机 (Layer3 Switch) 是 由 第 三 层 协 议 参与 报 文 交换 过 程 ,转发 依据 为 网 络 层 地 
址 。 由 于 如 今 采用 的 第 三 层 协议 均 为 卫 , 因 此 三 层 交 换 机 也 称 为 IP 交换 机 (IP Switch)。 

IP 交换 机 组 网 与 二 层 交换 机 组 网 方式 类 似 。 但 三 层 交换 机 已 经 不 再 专属 于 以 太 网 技 
术 范 畴 了 ,因为 以 IP 作为 互 连 平台 ,交换 机 接口 可 以 采用 各 种 通信 网 络 技术 , 除 最 常用 的 
Ethernet 外 ,还 可 采用 FR、ATM、MPLS 等 。 


2.4 WLAN 


2.4.1 WLAN 体系 结构 


无 线 局 域 网 (Wireless LAN,WLAN) 即 无 线 以 太 网 (Wireless Ethernet) ,俗称 WiFi, 由 
IEEE 802. 11 标准 定义 。 
WLAN 网 络 结构 如 图 2. 16 所 示 。 


oo OU we 
有 9 ~ 上 


上 联 本 地 网 络 
或 外 部 网 络 


无 线 访问 点 
图 2.16 WLAN 网 络 结构 示意 


WLAN 主要 有 两 种 类 型 的 设备 : 一 种 是 无 线 终端 ,通常 是 计算 机 终端 加 上 WLAN 
网 卡 构成 ; 另 一 种 称 为 无 线 访问 点 (Access Point, AP) ,其 作用 是 提供 无 线 信 道 和 有 线 网 
络 之 间 的 桥接 (bridge)。AP 由 一 个 无 线 收发 器 和 一 个 有 线 的 网 络 接口 (802. 3 Ethernet) 
构成 ,桥接 软件 符合 802. 1d 桥接 协议 。AP 就 像 是 WLAN 的 一 个 无 线 基站 ,将 多 个 无 线 
终端 聚合 到 有 线 网 络 上 。 无 线 终 端 可 以 是 带 WLAN 接口 的 PC、 笔 记 本 电脑 .PDA 或 
手机 。 

WLAN 定义 了 两 种 工作 模式 (如 图 2. 17 所 示 ) : 基础 设施 (Infrastructure) 模 式 和 自 组 
网 络 (Ad-hoc) 模 式 。 

如 图 2. 17(a) 所 示 ,在 常用 的 基础 设施 模式 中 ,WLAN 至 少 配备 一 个 AP ,与 无 线 终端 
一 起 构成 一 个 基本 服务 集合 (Basic Service Set, BSS) ,覆盖 一 个 基本 服务 区 (Basic Service 
Area,BSA) ,是 由 AP 的 无 线 信号 有 效 履 盖 范 围 决 定 的 。 而 一 个 扩展 服务 集合 (Extended 
Service Set,ESS) 是 由 两 个 或 者 多 个 BSS 构成 的 ,可 以 包括 由 门 桥 (portal) 桥 接 的 不 同类 型 
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WLAN。 一 般 通 过 WLAN 访问 有 线 网 络 上 的 设备 或 服务 (文件 服务 器 .打印 机 、Internet 连 
接 等 ) 宜 采用 基础 设施 模式 。 

如 图 2. 17(b) 所 示 , 自 组 网 络 模式 又 可 称 为 点 对 点 模式 对 等 模式 或 独立 基本 服务 集合 
(Independent Basic Service Set,IBSS) ,是 一 种 无 线 网 络 特 有 的 系统 构成 方式 。 以 自 组 网 络 
方式 连接 的 无 线 终端 之 间 直 接 进行 通信 ,不 需要 经 过 AP 或 有 线 网 络 转 接 。 这 种 方式 可 应 
用 于 不 需要 访问 有 线 网 络 中 的 资源 、 只 需要 实现 无 线 终端 之 间 相互 通信 的 环境 。 

无 线 终 端 接 入 AP 需 首 先 建立 关联 (association) 关系, 可 检测 AP 周期 性 发 送 的 信 标 
帧 (Beacon Frame) 或 采用 主动 发 送 探测 请 求 帧 (Probe Request Frame) 来 实现 。 终 止 关联 
称 为 分 离 (dissociation) ,而 将 关联 转移 到 另 一 个 AP, 则 称 为 重建 关联 (reassociation) 的 过 
程 。 基 于 这 种 机 制 , 可 实现 WLAN 无 线 终端 在 AP 间 的 漫游 (roaming)。 但 漫游 不 等 于 
无 颖 切换 (Seamless Handover) ,后 者 要 求 网 络 连接 及 其 业务 不 会 因 重 建 关 联 而 中 断 或 
终止 。 
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图 2.17 WLAN 两 种 工作 模式 


2.4.2 ”WLAN 物理 层 


WLAN 标准 最 初 为 1997 年 发 布 的 IEEE 802. 11, 包 括 物 理 层 和 数据 链 路 层 两 个 层次 ， 
后 逐步 扩展 出 802. 11a/b 等 18 种 标准 ,其 中 802. 11a/b/g/n 是 与 物理 层 相 关 的 标准 ， 
802. 11d/e/h/i 是 与 MAC 层 相 关 的 标准 ,802. 11c/f 可 增强 OSI 应 用 层 的 功能 ,802. 11k/r 
用 于 信道 测量 和 快速 切换 ,等 等 。 

IEEE 802. 11 的 目标 主要 是 解决 局 域 网 范围 中 用 户 终端 的 无 线 接 和 人 ,采用 面向 分 组 的 
通信 方式 ,对 IP 有 良好 支持 ,最 高 速率 为 2Mb/s。802. 11 物理 层 有 三 种 实现 方法 。 

(1) 跳 频 扩 频 (FH-SS)。 使 用 2.4GHz 的 ISM 频段 (2. 4000 一 2. 4835GHz) ,共有 79 个 
频道 供 跳 频 使 用 (包括 4 个 导 频 ) ,第 一 个 频道 的 中 心 频率 为 2. 402GHz, 每 隔 1MHz 一 个 信 
道 。 当 使 用 二 元 高 斯 移 频 键 控 (GFSK) 时 ,速率 为 1Mb/s, 当 使 用 四 元 (GFSK) 时 ,速率 为 
2Mb/s。 

(2) 直接 序列 扩 频 (DS-SS)。 也 使 用 2. 4GHz 频段 ,但 采用 14 个 22MHz 的 通道 
(channel) ,临近 的 通道 互相 重 倒 ,数据 就 是 从 这 14 个 频段 中 的 一 个 进行 传送 而 不 需要 进行 
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频繁 的 跳 频 , 避 免 额 外 开销 。 为 了 弥补 特定 频段 中 的 噪音 干扰 ,运用 Chipping 技术 来 解决 
这 个 问题 。 在 每 个 通道 中 传输 的 数据 都 被 转化 成 一 个 带 抑 余 校 验 的 Chips 数据 ,与 原始 数 
据 一 起 进行 传输 ,用 来 提供 错误 校 验 和 纠 错 ,增加 了 网 络 的 吞吐 量 。DS-SS 方法 同样 可 提 
供 1 或 2Mby/s 速率 。 

(3) 红外 线 (InfraRed) 。IR 波长 为 850 一 950nm, 速率 为 1 一 2Mby/s ,限于 在 室内 环境 
使 用 。 

2000 年 8 月 发 布 的 802. 11a 物理 层 工作 在 5GHz 的 U-NII 频带 ,采用 正 交 频 分 复 用 
(OFDM) 多 载波 调制 技术 ,载波 数 达 52 个 。 物 理 层 速率 可 选 6M、9M、12M、18M、24M、 
36M、48M 和 54Mb/s, 可 根据 环境 技术 条 件 进行 选择 。802. 11a 还 可 提供 25Mb/s 无 线 
ATM 接口 .10Mb/s 以 太 网 无 线 帧 结构 接口 以 及 TDDVTDMA 空中 接口 。 

1999 年 9 月 通过 的 802. 11b 是 最 常用 的 WLAN 标准 ,物理 层 工作 在 2. 4GHz 频段 , 采 
用 DS-SS 扩 频 ,编码 技术 为 补 码 键 控 CCCK) 和 分 组 二 进 制 卷 积 码 (PBCC) ,调制 方法 为 
DQPSK。802. 11b 使 用 动态 速率 漂移 ,可 因 环 境 变化 (噪音 状况 等 ) ,在 11M,、5. 5M、2M、 
1Mbys 之 间 切 换 , 且 在 2M、1Mb/s 速率 时 与 802. 11 兼容 。 

802. 11g 标准 是 802. 11 b 标准 的 扩展 (并 兼容 )。802. 11g 在 802. 11b 中 添加 了 
802. 11a OFDM 传输 模式 ,拥有 802. 11a 的 吞吐 率 优势 ,但 工作 在 2. 4GHz 频段 。 此 外 ， 
802. 11g 还 定义 了 可 选 的 增加 吞吐 率 的 模式 。 

802. 11n 物理 层 采用 了 MIMO 智能 天 线 技术 ,将 传输 速率 提高 到 100Mb/s 以 上 。 
802. 11n 使 用 OFDM 改变 数据 包 结 构 来 兼容 其 他 版 本 。 


2.4.3 CSMA/CA 算法 


如 图 2. 18 所 示 ,802. 11 的 MAC 层 由 点 协调 功能 (Point Coordination Function,PCF) 
和 分 布 协调 功能 (Distributed Coordination Function ,DCF) 组 成 。 


无 争 用 服务 
争 用 服务 
点 协调 功能 (PCF) 1 
MAC 层 分 布 协调 功能 (DCP) 
(CSMA/CA) 
es 2.4G(FH-SS/DS-SS)IR | 5G(OFDM) | 2.4G(DS-SS) 
i 1M/2Mb/s 6-54Mb/s | 5.5M/11Mb/s 
802.11 8021la | 802.11b "| 


图 2.18 802.11MAC 层 协 议 栈 


协调 功能 用 于 确定 在 共享 信道 上 无 线 终端 是 否 可 以 发 送信 息 , 以 避免 冲突 的 发 生 。 其 
中 DCF 执行 CSMA/CA 算法 ,而 PCF 为 可 选 功能 ,使 用 类 似 轮 询 式 的 集中 控制 算法 ,将 发 
送 权 轮 流 交 给 各 个 站 点 。 对 于 时 间 人 敏感 性 业务 ,可 使 用 无 争 用 服务 的 DCF ,但 自 组 网 络 没 
有 DCF 子 层 。 

带 冲突 避免 的 载波 侦 听 多 址 访问 (Carrier Sense Multiple Access with Collision 
Avoidance,CSMA/CA) 是 802. 11 核心 算法 ,与 以 太 网 CSMA/CD 有 相似 之 处 ,但 考虑 到 无 
线 信 道 的 特性 ,不 同 点 主要 在 冲突 避免 方面 。 
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CSMA/CA 定义 了 一 种 帧 间 间 隔 (InterFrame Space,IFS) 时 间 参 数 。 其 中 SIFSCShort 
IFS) 最 短 ,为 28ps, 用 于 ACK 帧 \CTS 帧 由 过 长 的 MAC 帧 分 片 后 的 数据 帧 .所 有 回答 AP 
探 询 的 帧 ,在 PCF 方式 中 接 和 人 点 (AP) 发 出 的 任何 帧 ; PIFS(Point IFS) 为 PFS 帧 间 间 隔 , 比 
SIFS 长 ,为 78ps; DIFSCDistributed IFS) 为 DFS 帧 间 间 隔 , 时 间 最 长 ,为 128ys。 三 者 分 别 
相差 一 个 时 隙 50ps, 即 当 某 个 站 在 一 个 时 隙 开始 时 接 入 到 媒体 ,那么 经 过 一 个 时 隙 时 间 , 其 
他 站 都 能 检测 出 信道 变 为 忙 状态 。 规 定 一 个 站 在 发 送 完 成 后 ,必须 等 待 某 种 IFS 时 间 后 才 
能 继续 监听 并 发 送 ,并 且 高 优先 级 帧 等 待 时 间 较 短 , 低 优先 级 帧 等 待 时 间 较 长 。 

如 图 2. 19 所 示 ,CSMA/CA 算法 工作 流程 如 下 。 

(1) 当 站 点 有 帧 要 发 送 时 , 先 用 载波 侦 听 的 方法 检测 信道 ,车 收 到 的 相对 信和 号 强度 超过 
一 定 门限 值 ,说 明 其 他 站 正在 占用 信道 发 送 。 

(2) 若 检测 到 信道 空闲 ,在 等 待 DIFS 后 进行 发 送 (考虑 高 优先 级 帧 可 能 要 发 送 ) 。 

(3) 目的 站 正确 接收 后 ,经 过 SIFS, 向 源 站 发 送 ACK 帧 确认 。 

(4) 若 源 站 在 规定 时 间 内 没有 收 到 ACK( 重 传 计时 器 超时 ), 则 重 传 该 帧 , 直到 收 到 
ACK 或 超过 重 传 次 数 后 放弃 发 送 。 

(5) 当 信道 从 忙 变 为 空闲 时 ,任何 一 个 站 先 等 待 DIFS 时 间 ,然后 进入 争 用 窗口 ,等 待 随 
机 退 避 时 间 ,以 减少 碰撞 概率 。 


DIFS 
PIFS 
EE [ES 
源 站 A | 9 1 
有 帧 要 发 送 | 
| ACK 
目的 站 1 DIFS 他 
1 PIFS| |_ 争 用 窗口 
NAV(busy) 3 | 发 送 F 帧 | 
其 他 站 ct 
有 帧 要 发 送 推迟 发 送 等 待 重 试 时 间 


图 2.19 CSMA/CA 工作 原理 


CSMAVCA 采用 退 避 机 制 的 原因 与 CSMA/CD 类 似 , 随 机 退 避 算法 也 有 相同 的 机 理 ， 
但 稍稍 有 所 不 同 。CSMA/CA 退 避 算法 是 : 第 i 次 退 避 时 ,在 [1, 2** 中 随机 选择 一 个 数 
值 , 作 为 应 等 待 的 时 隙 数 。 例 如 第 1 次 退 避 时 ,应 在 1 一 8 中 随机 选择 时 隙 的 个 数 。 若 退 避 
计时 器 回 零 前 信道 变 为 忙 态 , 则 冻结 计时 器 ,等 信道 变 为 空闲 后 ,再 经 过 DIFS, 从 原来 的 计 
时 点 开始 继续 计时 。 

CSMA/CA 还 采用 两 种 有 效 的 机 制 来 避免 碰撞 。 

(1) 虚拟 载波 侦 听 机 制 。 源 站 把 将 要 占用 信道 的 时 间 ( 包 括 目的 站 回复 确认 帧 所 需 时 
间 ) 通 知 给 其 他 所 有 站 ,以 便 其 他 站 在 这 一 段 时 间 都 停止 发 送 数 据 , 称 为 虚拟 载波 侦 听 
(Virtual Carrier Sense) 。 时 间 通 知 信息 位 于 802. 11 MAC 帧 首部 (如 图 2. 20 所 示 ) 的 第 二 
个 字段 (持续 时 间 字 段 ) ,单位 为 ns。 

(2) 信道 预约 机 制 。 为 了 解决 隐蔽 站 问题 , 源 站 在 发 送 数据 帧 前 先 发 送 一 个 专门 的 短 
控制 帧 (RTS) ,包括 源 地 址 .目的 地 址 和 预计 将 要 占用 信道 时 间 ( 包 括 确认 时 间 ), 若 信道 空 
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图 2.20 802.11 MAC 帧 结构 


闲 ,目的 站 就 发 送 一 个 专门 的 响应 控制 帧 (CTS) ,并 复制 RTS 中 的 时 间 , 源 站 收 到 CTS 后 
就 可 发 送 数据 帧 。 其 他 站 不 论 收 到 RTS 还 是 CTS ,都 应 推迟 发 送 , 推 迟 时 间 长 度 根据 RTS 
或 CTS 中 的 指示 ,直到 推迟 时 间 到 时 或 者 发 现 目的 站 已 经 响应 了 ACK ,才能 启动 发 送 过 程 
(如 图 2. 21 所 示 )。 

思考 : 信道 预约 机 制 如 何 解决 隐蔽 站 问题 ? 能 否 解决 暴露 站 问题 ? 
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图 2.21 CSMA/CA 信道 预约 时 序 
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2.4.4 WLAN 安全 协议 

1. WEP 协议 

WEP(Wired Equivalent Privacy, 有 线 等 效 保 密 ) 协 议 用 于 无 线 终端 接 入 认证 和 数据 加 
密 , 以 防止 非法 用 户 窃听 或 侵入 无 线 网 络 。WEP 是 IEEE 802. 11 标准 的 一 部 分 ,使 用 密 钥 
长 度 可 变 的 RC4 流 式 对 称 加 密 技术 实现 保密 性 ,并 使 用 CRC-32 校 验 技术 保障 信息 的 完 
整 性 。 

WEP 采用 两 种 安全 认证 方式 : 开放 系统 认证 (Open System Authentication ) 和 共享 密 
钥 认 证 (Shared Key Authentication) 。 开 放 系 统 认证 使 用 开放 型 的 认证 方式 ,只 要 输入 密 
码 ,经 验证 正确 即 可 获得 通过 。 共 享 密 钥 认证 方式 采用 以 下 四 个 步骤 进行 验证 。 

(1) 接 入 终端 向 接 人 点 (AP) 发 送 认 证 请 求 。 

(2) AP 回复 一 个 明文 消息 。 

(3) 接 和 人 终端 用 密 钥 (设置 的 字符 串 或 十 六 进 制 数值 串 ) 对 明文 进行 加 密 , 再 次 向 接 人 
点 发 送 认 证 请 求 。 

(4) 接 人 点 采用 相同 密 钥 对 加 密 数据 进行 解密 ,比较 明文 消息 是 否 一 致 ,并 决定 是 否 接 
受 请 求 。 

由 于 WEP 在 密 钥 和 认证 方面 存在 安全 性 上 的 不 足 , 容 易 受到 攻击 ,2003 年 被 WPA 协 
议 所 取代 。 

2. WPA 

WPA(Wi-Fi Protected Access, 无 线 局 域 网 保护 接 人 ) 协 议 的 作用 与 WEP 类 似 ,是 对 
WEP 安全 技术 的 改进 (过 渡 方法 ) 。2004 年 形成 IEEE 802. 11i 标准 (又 称 为 WPA2)。 

WPA 的 数据 加 密 采 用 TKIP(Temporary Key Integrity Protocol, 临 时 密 钥 完整 性 协 
议 ) 或 AESCAdvanced Encryption Standard) 技 术 , 认 证 有 两 种 模式 可 供 选 择 : 一 种 是 采用 
IEEE 802. 1x 认证 框架 和 可 扩展 认证 协议 (Extensible Authentication Protocol,EAP) 的 企 
业 安 全 模式 , 另 一 种 是 称 为 预 共享 密 钥 (Pre-Shared Key, PSK) 方 式 的 个 人 安全 模式 ,用 于 
不 需要 认证 服务 器 的 家 用 或 小 型 办 公 网 络 。 

TKIP 仍然 采用 WEP 所 用 的 RC4 加 密 算法 ,但 加 强 了 密 钥 的 安全 强度 。TKIP 的 密 钥 
更 长 (128b) ,而 且 是 动态 变化 的 , 即 每 个 数据 报 文 使 用 不 同 的 密 钥 。 其 基本 原理 是 : 通过 认 
证 服务 器 或 手工 输入 一 个 临时 密 钥 用 于 会 话 , 将 临时 密 钥 与 每 个 站 点 的 MAC 地 址 进行 混 
合 ,再 加 上 TKIP 序列 计数 器 值 .48b 初始 化 向 量 ,产生 RC4 所 用 的 加 密 密 钥 。 

IEEE 802. 1x 认证 更 为 严格 ,需要 配置 专门 的 认证 服务 器 ,运行 了 ADIUS 或 Kerberos 
协议 ,提供 集中 式 安全 认证 和 接 和 人 控制 。 

3. WAPI 


无 线 局 域 网 鉴别 和 保密 基础 设施 (Wireless-LAN Authentication and Privacy 
Infrastructure, WAPI) 是 2006 年 由 中 国 制定 的 无 线 局 域 网 安全 强制 性 标准 (GB 
15629. 1101 一 1104) , 现 已 获得 国际 标准 化 机 构 的 认可 ,与 WEP、WPA 等 并 列 为 WLAN/ 
WiFi 的 安全 保护 技术 。 

基于 WAPI 协议 的 WLAN 安全 网 络 由 无 线 终端 .AP 和 认证 服务 器 (AS) 三 个 实体 组 
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成 ,运用 公开 密码 体系 完成 终端 和 AP 间 的 双向 认证 ,认证 过 程 中 采用 椭圆 曲线 加 密 算法 
(ECC,192b 密 钥 ) ,并 协商 生成 会 话 密 钥 ; 通信 过 程 中 的 数据 加 密 采用 国家 密码 主管 部 门 
指定 的 对 称 密 钥 加 密 算法 (如 128b 密 钥 的 SMS4)。WAPI 支持 在 通信 一 定时 间 间 隔 或 传 
输 一 定数 量 的 数据 包 后 ,更 新 会 话 密 钥 。 

WAPI 主要 包括 以 下 两 个 方面 。 

(1) 无 线 局 域 网 认证 基础 设施 (WAD) 不 仅 具 有 更 加 安全 的 鉴别 机 制 、 更 加 灵活 的 密 钥 
管理 技术 ,而 且 实 现 了 整个 基础 网 络 的 集中 用 户 管理 ,从 而 能 够 满足 更 多 用 户 和 更 复杂 的 安 
全 性 要 求 。 

(2) 无 线 局 域 网 保密 基础 设施 (WPI) 对 MAC 子 层 的 MPDU 进行 加 解密 处 理 ,分 别 用 
于 WLAN 设备 的 数字 证 书 、 密 钥 协 商 和 传输 数据 的 加 解密 ,从 而 实现 设备 的 身份 鉴别 、 链 
路 验证 ,访问 控制 和 用 户 信 息 在 无 线 传输 状态 下 的 加 密 保护 。 
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Internet 又 称 因 特 网 、 互 联网 。 自 20 世纪 70 年 代 起 步 ,Internet 从 一 个 
小 型 实验 网 逐渐 演变 成 为 覆盖 全 球 的 超级 网 络 , 开 创 了 网 络 时 代 和 信息 时 
代 , 使 人 类 在 享受 真实 生活 乐趣 的 同时 ,可 以 自由 自在 地 邀 游 于 虚拟 世界 。 

Internet 已 经 成 为 全 世界 的 共同 财富 ,凝聚 了 全 人 类 的 智慧 。 它 是 创新 
的 平台 技术 的 摇篮 .知识 的 宝库 ,发展 的 引擎 。 当 我 们 为 Internet 陶醉 和 喝 
彩 时 ,不 妨 重 温 以 下 这 些 里 程 碑 式 的 历史 瞬间 。 

(1) 1969 年 9 月 3 日 ,加 州 大 学 洛杉矶 分 校 在 实验 室 的 两 台 计 算 机 之 间 
成 功 地 进行 了 数据 传输 试验 ,ARPANET 诞生 。 麻 省 理工 学 院 林肯 实验 室 的 
拉 里 。 风 伯 茨 为 ARPANET 项 目 主持 人 ,被 称 为 ARPANET 之 父 。 

(2) 1969 年 10 月 29 日 ,加 州 大 学 洛杉矶 分 校 与 斯 坦 福 研 究 所 实现 首次 
网 络 连 接 。 作 为 Internet 前 身 的 ARPANET 初 具 秩 形 。 

(3) 1972 年 , 雷 ， 汤 姆 林 森 创立 电子 邮件 应 用 ,并 采用 @ 符 号 标记 电子 
邮件 地 址 ,犹如 神 来 之 笔 。 

(4) 1973 年 ,ARPANET 建立 了 首 个 全 球 结 点 ,位 于 英格兰 和 挪威 。 

(5) 1974 年 , 温 顿 。 瑟 夫 与 鲍 勃 。 卡 恩 开发 了 TCP,1983 年 1 月 1 日 成 
为 RFC 标准 。 

(6) 1983 年 ,开始 探索 互联 网 域名 系统 (DNS) ,一 年 后 com、gov、edu 域 
名 启用 。 

(7) 1988 年 11 月 2 日 ,英里 斯 蠕虫 感染 了 Internet 上 数 千 台 计算 机 。 

(8) 1990 年 , 带 姆 * 伯 纳 斯 * 李 在 欧洲 核子 研究 中 心 开 发 了 WWW。 


3.1 Internet 基本 原理 


Internet 的 核心 是 IP, 因 此 Internet 也 称 为 IP 网 络 。IP 为 上 层 的 TCP/ 
UDP 和 各 种 应 用 层 协议 提供 路 由 和 寻 址 服务 ,并 可 以 利用 Ethernet、ATM 
等 各 种 通信 网 络 实现 互联 。 
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如 图 3. 1 所 示 ,Internet 协议 栈 包 括 网 络 层 .运输 层 和 应 用 层 三 个 层次 。 可 见 ,Internet 
并 不 关注 数据 通信 所 采用 的 技术 手段 是 有 线 网 络 还 是 无 线 网 络 ,是 宽带 传输 还 是 窄带 传输 ， 
是 专线 连接 还 是 拨号 连接 ,或 者 说 , Internet 可 以 兼容 并 蓄 。 其 次 ,Internet 没有 OSI 会 话 层 
和 表示 层 协 议 ( 思 考 为 什么 ) ,简化 了 协议 栈 , 但 仍然 符合 OSI 模型 。 
OSI 分 层 模 型 Internet 协 议 栈 结构 


HTTP |IFTP|| Telnet ||SMTP || POP ||ISNMP 


应 用 层 | 


-| 


由 


1 
1 
1 
1 

运输 层 | 1 
1 
1 
1 

网 络 层 | 
1 
| 

数据 链 路 层 | |Eaemet FR ATM || wuAN DUN|| HDLC 

1 
1 
人 

物理 层 | Wire/Wireless/Dial-up 
1 


图 3.1 Internet 协议 栈 


虽然 Internet 非常 庞大 ,其 结构 并 不 十 分 复杂 ,有 很 强 的 规律 性 。 简 而 言 之 ,Internet 
就 是 各 种 子 网 (subnet) 的 互联 体 。 在 符合 Internet 标准 化 体系 的 前 提 下 ,各 个 国家 的 IP 网 
络 通过 主干 线路 相互 连接 ,而 各 个 国家 IP 网 络 同样 是 由 地 区 性 IP 网 络 通过 骨干 网 相互 连 
接 , 层 层 递 进 ,末端 是 用 户 子 网 ,形成 既 有 相对 独立 性 又 有 相互 关联 性 的 互 连 体系 , 即 成 为 
Internet, 

因此 ,Internet 的 网 络 体系 很 容易 进行 扩展 ,新 成 员 的 加 入 不 仅 不 会 影响 其 他 成 员 的 互 
联 互 通 , 而 且 使 网 络 资源 更 加 丰富 。 部 分 子 网 受 损 不 会 影响 整体 网 络 ,不 易 引 起 灾害 草 延 ， 
具有 出 色 的 抗 毁 性 。 从 技术 上 探讨 , Internet 网 络 的 路 由 、 寻 址 、 互 连 是 采用 分 布 式 控 制 方 
法 ,避免 了 集中 式 控制 系统 存在 的 性 能 瓶颈 . 单 点 故障 。 

Internet 采用 路 由 器 (Router) 互 联 各 个 子 网 。 路 由 器 运行 特定 的 路 由 协议 ,承担 连接 
不 同 网 络 、 提 供用 户 接 入 的 任务 。 路 由 器 根据 路 由 信息 ,将 输入 的 IP 报 文 转发 到 目的 全 地 
址 相关 的 端口 (线路 ) , 交 给 下 一 台 路 由 器 或 子 网 ,直到 到 达 目 标 网 络 或 终端 。 用户 端 的 边缘 
路 由 器 通常 配备 两 个 端口 ,一端 连接 用 户 子 网 , 另 一 端 连 接 Internet ,因此 并 不 需要 依赖 路 
由 协议 , 仅 需 进 行内 网 和 外 网 的 IP 报 文 转发 ; 网 际 互 联 路 由 器 则 往往 配备 多 个 端口 ,就 应 
根据 目的 IP 地 址 和 路 由 信息 决定 转发 的 端口 ( 即 发 送 方向 ) 。 

Internet 技术 标准 由 IETF 负责 讨论 和 制订 ,以 RFC 标准 文本 的 形式 发 布 。 常 用 的 
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RFC 标准 如 表 3. 1 所 示 。 
表 3.1 常用 RFC 标准 


RFC 791 IP Internet Protocol v4 
RFC 1883 IPv6 Internet Protocol v6 
RFC 792 ICMP Internet Control Message Protocol 
RFC 826 ARP Address Resolution Protocol 
RFC 903 RARP Reversed Address Resolution Protocol 
RFC 951/1541 DHCP Dynamic Host Configuration Protocol 
RFC 1034/1035 DNS Domain Name Server 
RFC 768 UDP User Datagram Protocol 
RFC 793 TCP Transmission Control Protocol 
RFC 821/822 SMTP Simple Mail Transfer Protocol 
RFC 1081/1939 POP3 Post Office Protocol v3 
RFC 854/855 Telnet Telnet Protocol 
RFC 959 FTP File Transfer Protocol 
RFC 1350 TFTP Trivial File Transfer Protocol 
RFC 1866 HTMLv2 Hyper-Text Makeup Language v2 
RFC 1945 HTTP LO Hyper-Text Transfer Protocol v1.0 
RFC 2616 HTTP 1.1 Hyper-Text Transfer Protocol v1.1 
RFC 1157 SNMP Simple Network Management Protocol v1 
RFC 1001/1002 NetBIOS NetBIOS 
RFC 1005 SLIP Serial Line IP 
RFC 1661 Prep Point-to-Point Protocol 
RFC 1717 PPP-MP PPP Multi-link Protocol 

3.2 TCP/IP 

3:2.1 IP 


IP(Internet Protocol) 是 面向 非 连 接 的 数据 报 协议 (RFC 791) ,意味 着 IP 不 需要 建立 虚 
电路 ,不 提供 可 靠 数 据 传输 。IP 为 TCP/UDP 传递 PDU ,支持 数据 分 割 和 重组 ; 理论 上 ,IP 
报 文 可 以 通过 不 同 的 路 径 进行 传送 ,在 接收 端 进行 按 序 交 付 。 通 常用 IP 指 代 IPv4, 即 目前 
使 用 的 版 本 4 的 IP。 

1. IP 报 文 

IP 只 有 一 种 报 文 (如 图 3.2 所 示 ) ,每 个 报 文 都 携带 完整 的 控制 信息 和 数据 ,可 以 独立 
地 在 Internet 上 被 传送 ( 串 行 通信 中 , 低 比 特 优先 发 送 ) 。 

IP 报头 (控制 头 ) 是 一 个 20 一 60B( 必 须 为 4B 的 整数 倍 长 度 ) 的 结构 化 数据 ,常用 20B， 
可 按照 某 些 特殊 系统 的 需要 扩展 协议 选项 字段 ( 非 Internet 通用 标准 ) 。 每 个 字段 都 有 规定 
的 位 置 .长 度 和 含义 ,分 别 表 示 和 执行 相应 的 协议 功能 。 

版 本 号 (version) 固定 为 4, 指使 用 IPv4 协议 。 


一 
ee 2 版 ) 


一 1B 一 
rs 0 Wl 3 4 5 6 7 
0 版 本 号 (version)=4 报头 长 度 (IHL) 
1 应 用 服务 类 型 (ToS) 
ee 总 长 度 (len) 一 一 一 一 一 一 一 一 一 - 
3 
i es 
5 (identification) 
6 标记 (flags) __ 分 片 偏 移 ___ 
7 (offset) 
8 报 文 存活 时 间 (TTL) 
9 协议 (protocol) 
A 校 验 和 __________ 
11 (checksum) 
12 
6 源 P 地 址 ________. 
14 (source address) 
1 
16 
a 宿 p 地 址  _______. 
18 (destination address) 
bs 
20 
[| -pi 
填充 字 (padding) ( 按 需 使 用 ) 
n 
ntl 
承载 数据 (carried data) 
(可 变 长 度 ) 
图 3.2 IP 报 文 


报头 长 度 (IHL) 是 以 4B 为 单位 的 数值 ,指明 整个 报头 的 长 度 。 总 长 度 (len) 则 为 报头 
和 承载 数据 的 长 度 之 和 (以 B 为 单位 ), 因 此 (en-IHLX4) 就 是 数据 部 分 的 长 度 。IP 报 文 的 
最 大 长 度 为 65 535B, 但 IP 报 文 长 度 应 当 适 应 不 同 的 数据 链 路 层 传输 的 要 求 ,不 能 超过 规定 
的 最 大 传送 单元 (Maximum Transfer Unit, MTU) 长 度 。 例 如 , Ethernet 的 MTU 值 为 
1500,PPP 协议 的 MTU 值 为 296 等 。 

报 文 存活 时 间 (Time To Live,TTL) 是 个 非常 有 趣 的 参数 ,IP 报 文 居然 也 有 寿命 。 事 
实 上 .TTL 非常 必要 。 假 如 一 个 IP 报 文 一 直 找 不 到 目的 地 (例如 由 于 传输 差错 引起 报 文 变 
化 ) ,那么 就 可 能 在 Internet 上 永 无 休止 地 忽 圈 子 。 这 样 的 流浪 报 文 积累 得 越 来 越 多 ,就 会 
导致 网 络 效率 严重 下 降 甚至 崩溃 。 因 此 ,在 一 个 IP 报 文 生成 的 同时 ,会 被 赋予 一 个 有 限 的 
TTL, 例 如 16, 这 个 IP 报 文 每 经 过 一 个 路 由 器 结 点 ,被 称 为 一 跳 (hop ,或 称 一 跃 ) ,应 将 
TTL 寿命 值 减 1。 如 果 报 文 在 TTL 归 零 之 前 到 达 目 的 地 ,没有 任何 影响 ; 而 一 旦 经 过 规定 
跳 数 ( 按 最 坏 情 况 估算 需 经 过 的 路 由 器 数 ) 之 后 还 没有 到 达 目 的 地 ,那么 这 个 IP 报 文 就 会 被 
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应 用 服务 类 型 (Type of Service,ToS) 指 明 所 携带 的 数据 属于 何 种 类 型 ,以 便 网 络 中 继 
设备 根据 不 同类 型 数据 的 要 求 作 相应 的 配合 。 例 如 ,文件 数据 要 求 网 络 保证 可 靠 传输 ; 语 
音信 号 必须 尽 可 能 连续 ,才能 让 对 方 听 得 明白 ,因此 要 保证 语音 报 文 优先 得 到 传送 的 机 会 ， 
不 会 间断 ; 动态 视频 数据 量 巨 大 ,丢失 少量 数据 影响 不 大 ,但 应 尽量 保证 实时 传送 ( 短 时 
延 ), 人 避免 因 缓存 和 排队 而 堆积 。 这 种 按 需 处 理 数据 的 方式 体现 了 非常 重要 的 网 络 服务 质量 
(QoS) 要 求 。 然 而 ,Internet 网 络 对 ToS 几乎 不 处 理 ,使 这 一 功能 形同虚设 。 

假如 IP 报 文 长 度 大 于 MTU ,就 需要 对 IP 报 文 进行 分 片 (fragmentation) ,分 段 发送 的 
IP 报 文 应 该 在 目的 接收 端 能 够 拼接 起 来 ,以 完全 恢复 原样 。 需 要 注意 的 是 ,分 片 不 是 简单 
地 把 IP 报 文 切 成 若干 段 ,而 是 指 仅 对 数据 字段 进行 分 割 (每 一 片 数据 长 度 须 为 8B 的 整数 
倍 ) ,报头 部 分 仍然 要 完整 有 效 。 例 如 , 设 IP 报头 长 度 为 24B, 数 据 部 分 长 度 为 3000B, 准备 
在 MTU 为 296 的 PPP 网 络 上 传送 , 则 每 个 分 段 完 成 后 的 IP 报 文 中 数据 部 分 长 度 为 296 一 
24 王 272B, 那 么 ,3000 二 272 王 11…8, 即 需要 分 为 12 个 IP 报 文 。 

IP 报 文 分 片 功能 使 用 报头 中 的 3 个 字段 : 标识 符 (identification,ID)、 标 记 (flags) 和 分 
片 偏 移 (offset) 。 一 次 分 片 操作 得 到 的 所 有 IP 报 文 应 具有 相同 的 标识 符 ; 标记 字段 最 低位 
表示 “还 有 分 片 ”(More Fragment,MF) , 当 MF=1 时 ,说 明 该 IP 报 文 后 还 有 更 多 的 分 片 报 
文 ,直到 最 后 一 个 报 文 置 为 MF=0; 标记 字段 中 第 二 位 表示 “不 能 分 片 ”(Don't Fragment， 
DF),DF=0 时 允许 进行 分 片 ; 分 片 偏 移 字段 则 指明 该 分 片 在 原始 报 文 中 的 相对 位 置 ,以 8B 
为 计量 单位 ,第 一 个 分 片 的 偏 移 量 为 0, 如 图 3. 3 所 示 。 

ID=x, MF=1 


原 IP 报 文 
IHL=/ 
len=41+J 

IP 报 头 


数据 部 分 


IP 报 头 


IP 报 头 


IP 报 头 


Offset=0 
len=41+L 


= 第 一 分 片 


ID=x, MF=1 
Offset=L/8 
len=41+L 


一 第 二 分 片 


ID=x,MF=1 
Offset=2L/8 
len=41+L 


一 第 三 分 片 


ID=x, MF=0 
Offset=3L/8 
len=41+/-3L 
一 最 后 分 片 


图 3.3 IP 报 文 分 片 示意 


校 验 和 (checksum) 只 对 IP 报 文 的 报头 进行 校 验 。 发 送 方 先 将 校 验 和 字段 置 0, 按 16b 
字 长 进行 反 码 算术 求 和 和 运算 ,结果 值 的 反 码 即 为 校 验 和 。 接 收 方 校 验 时 ,同样 进行 反 码 求 
和 ,结果 的 反 码 如 果 为 0, 表示 数据 报头 未 发 生 差错 。 如 图 3. 4 为 IP 报 文 发 送 方 计算 校 验 
和 的 函数 程序 ,其 中 巧妙 地 利用 了 反 码 求 和 的 性 质 。 
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/x addr 指向 耳 报 头 首 字 节 ,count 是 以 字 为 单位 的 报头 大 小 x / 
unsigned short csum ( unsigned char x*addr, int count ) 
1 


register long sum = 0; /x sum 存放 校 验 和 计算 中 间 结 果 * / 
while (count —— ) 
sum += x (unsigned short) addr ++; /x 先 算术 求 和 */ 


/* 将 位 于 高 16 位 的 进位 数值 加 入 低 16 位 ,重复 直到 无 进位 */ 
while (sum>> 16) 
sum = (sum & Oxffff) + (sum>>16); 
return ~ sum; /x* 返回 反 码 , 即 校 验 和 */ 
} 


图 3.4 IP 报 文 校 验 和 的 计算 函数 


协议 (protocol) 字 段 指出 了 IP 报 文 携带 的 协议 类 型 ,以 便于 目的 方 的 全 协议 机 将 数据 
部 分 交付 给 正确 的 上 层 (或 子 层 ) 协 议 机 。 常 用 的 协议 字段 值 及 其 对 应 的 协议 如 表 3. 2 
所 示 。 
表 3.2 IP 报 文 协议 字段 常用 值 定义 


协议 分 类 协议 名 称 协议 字段 值 
TCP 6 
运输 层 协议 UDE 

ICMP 1 

络 层 管 协议 
网 络 层 管理 协议 TE 
EGP 8 
网 络 层 路 由 协议 IGP 9 
OSPF 89 
其 他 协议 IPv6 41 


源 IP 地 址 (source IP address) 和 宿 IP 地 址 (destination IP address) 都 是 4B 字段 ,通常 
以 十 进 制 数 表示 为 w. x. y. z, 例 如 : 202. 120. 224. 6。 

协议 选项 (options) 部 分 为 可 选 的 可 变 长 度 字段 ,最 长 为 40B, 按 需 用 全 0 的 填充 字段 
(padding) 补 齐 为 4B 的 整数 倍 。 

2. IP 地 址 

IP 地 址 (IP Address) 是 Internet 上 计算 机 设备 的 通信 标识 ,具有 唯一 性 。 

为 了 便于 分 配 ,管理 和 识别 ,IP 地 址 空间 (0. 0. 0. 0 一 255. 255. 255. 255) 被 划分 为 A、B、 
C、D、E 五 类 (如 表 3.3 所 示 ) ,地 址 第 一 字 节 的 高 位 部 分 ,运用 霍 夫 曼 编码 进行 区 分 及 识别 ， 
分 别 用 于 不 同 规模 的 网 络 和 不 同 用 途 。 

A、B.C 类 地 址 都 具有 网 络 号 (net-id) 和 主机 号 (host-id) 两 个 部 分 ,而 且 都 有 公 网 地 址 
和 私有 地 址 两 种 类 型 。 公 网 地 址 也 称 为 全 网 地 址 、 全 局 地 址 、 全 球 地 址 、 合 法 地 址 ; 私有 地 
址 也 称 为 内 网 地 址 、 局 部 地 址 、 保 留 地址 、 内 部 地 址 。 主 机 号 全 0 表示 本 网 段 , 全 1 为 本 网 段 
广播 地 址 (Broadcast Address) ,否则 就 是 单 播 地 址 (Unicast Address); D 类 为 组 播 地 址 
(Multicast Address); EE 类 保留 为 实验 地 址 (Experimental Address) 。 
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表 3.3 IP 地 址 分 类 及 其 编码 规则 


第 1 字 节 第 2 字 节 第 3 字 节 第 4 字 节 
AlassssssslauaHaaaaHaaaaaaHaaaaaaaaHaa 
101 sssssssslaammraaaaaaaaama 
SSslSsssssssslsssssssslHHHHHHHH 


闫 5 闪闪 ) 关 关 ) 关 ) 关 5 关 | 关 ) 关 ) 关 ) 关 ) 关 ) 关 ) 关 ) 关 | 关 5 关 ) 关 ) 关 i) 关 ) 关 i 关 i 


闫 5 闪闪 5 关 5 关 ) 关 ) 关 5 关 | 关 ) 关 ) 关 ) 关 5 关 ) 关 ) 关 ) 关 | 关 5 关 ) 关 5 关 ) 关 i) 关 i 关 ) 关 


注 : S 为 子 网 网 络 号 (net-id) 部 分 ,H 为 主机 号 (host-id) 部 分 。 


A 类 地 址 (S. H. H. H) 取 值 范 围 为 0.0.0.0~127.255.255.255, 其 中 10. H. H. H 为 私 
有 地 址 ,127. H. H. H 保留 给 闭环 测试 用 。 易 见 ,A 类 地 址 共 包 含 128 个 子 网 ,每 个 子 网 有 
2* 一 2 三 16 777 214 个 主机 (扣除 本 网 地 址 和 广播 地 址 )。A 类 地 址 适合 同一 子 网 中 包含 有 
大 量 主机 的 大 型 网 络 。 

B 类 地 址 (S. S. H. H) 取 值 范围 为 128.0.0.0~191. 255. 255. 255 ,其 中 172. 16. H. H 一 
172. 31. H. H 为 私有 地 址 。B 类 地 址 共有 16 384 个 子 网 ,每 个 子 网 65 534 个 主机 。 

C 类 地 址 (S. S. S. H) 取 值 范围 为 192. 0. 0. 0 一 223. 255. 255. 255 ,其 中 192. 168. 0. H~ 
192. 168. 255. H 为 私有 地 址 。C 类 地 址 有 2 097 152 个 子 网 ,每 个 子 网 254 个 主机 。 可 见 ， 
C 类 地 址 适合 主机 数量 较 少 的 小 型 网 络 。 

D 类 地 址 范围 为 224. 0. 0.0 一 239. 255. 255. 255。 

EE 类 地 址 范围 为 240.0. 0.0 一 255. 255. 255.255。 

IP 网 络 中 采用 子 网 掩 码 (subnet mask) 与 IP 地 址 进行 AND( 逻 辑 与 ) 运 算 来 提取 子 网 
地 址 (网 络 号 ); 显然 ,如 果 使 用 掩 码 的 反 码 进行 AND 运算 ,就 可 提取 到 主机 地 址 。A、B、 
C 类 地 址 的 子 网 掩 码 分 别 是 255. 0. 0.0、255. 255. 0.0、255. 255. 255.0。 

子 网 掩 码 对 于 网 络 寻 址 和 路 由 十 分 重要 。 如 果 两 个 IP 地 址 使 用 子 网 掩 码 提 取 到 的 网 
络 号 相同 ,说 明 在 同一 个 子 网 内 ,应 采用 二 层 以 下 的 数据 交换 (如 集线器 或 二 层 交 换 机 ); 如 
果 一 个 IP 地址 的 网 络 号 与 本 网 不 同 ,说 明 属于 其 他 子 网 , 则 应 交付 给 路 由 器 进行 转发 。 

在 实际 应 用 中 , 子 网 掩 码 的 应 用 可 以 非常 灵活 。 子 网 掩 码 不 一 定 是 8.16 或 24b 的 1， 
A 类 地 址 的 掩 码 也 不 一 定 是 255. 0. 0. 0。 

首先 ,可 使 用 可 变 长 子 网 掩 码 (Variable Length Subnet Mask, VLSM), 在 主机 号 中 划 
分 出 一 部 分 编码 空间 用 于 网 络 号 ,可 提高 地 址 编码 的 利用 率 ,提高 网 络 效率 并 便于 管理 。 例 
如 ,校园 网 中 可 选择 使 用 A 类 私有 地 址 10. x. y. x, 而 子 网 掩 码 为 255. 255. 255. 0, 这 样 ,可 
以 划分 出 更 多 的 子 网 (x1y, 最 多 达 65 536 个 ) ,比如 为 每 个 系 、 每 个 教学 楼 分 配 不 同 的 子 网 ， 
有 利于 网 络 维护 。 

VLSM 方法 对 于 提高 路 由 效率 有 重要 的 作用 。 如 图 3. 5 所 示 ,从 一 个 结 点 出 发 到 达 
其 他 结 点 ,a 方 式 下 需要 记录 和 维护 到 达 所 有 结 点 的 路 由 信息 ,而 在 b 的 子 网 方式 下 ,只 
需 维护 本 子 网 结 点 的 路 由 信息 ,其 他 结 点 一 律 由 网 关 “ 接 力 ” 到 达 , 有 效 缩短 了 路 由 表 的 
长 度 。 
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a 方式 


图 3.5 全 网 路 由 与 子 网 路 由 


其 次 ,在 路 由 协议 (尤其 是 外 部 网 关 路 由 协议 ) 中 ,可 根据 网 络 分 布 情况 ,将 同 向 转发 的 
相 邻 的 子 网 地 址 合并 起 来 ,成 为 超 网 (super-net) ,可 以 大 大 简化 路 由 表 , 提 高 路 由 效率 。 用 
于 表示 超 网 的 方法 就 是 无 分 类 域 间 路 由 选择 (Classless Inter-Domain Routing,CIDR)。 

如 果 说 VLSM 可 将 一 个 大 子 网 “分 拆 ” 为 若干 个 小 子 网 ,那么 ,CIDR 则 着 眼 于 “聚合 ”。 
当然 ,CIDR 并 非 将 子 网 合 为 一 体 ,而 是 对 子 网 地 址 的 汇聚 ,使 得 网 间 路 由 信息 更 为 简洁 。 
与 VLSM 一 样 ,CIDR 打破 了 以 A、B、C 类 固定 划分 子 网 的 僵硬 机 制 。CIDR 用 网 络 前 组 
Cnetwork-prefix) 来 代替 网 络 号 . 子 网 号 和 主机 号 ,采用 “网 络 前 缀 /前 绥 长 度 ” 的 结构 形式 。 

例如 ,如 图 3.6 所 示 , 有 16 个 连续 的 C 类 地 址 ,最 小 地 址 为 192. 14. 32. 0, 最 大 地 址 为 
192. 14. 47.255, 地 址 的 高 20b 相同 , 即 可 用 CIDR 合成 为 一 个 大 地 址 块 , 记 为 192. 14. 32. 
0/20 ,可 省 略 低位 连续 的 十 进 制 0 简写 为 192. 14. 32/20 ,其 中 20 表示 前 级 长 度 为 20 个 二 
进 制 位 ,所 含 的 地 址 总 数 为 22 个 。 

IP 地 址 中 , 公 网 地 址 需要 向 ICANN(the Internet Corporation for Assigned Names and 
Numbers, 互 联网 名 称 与 地 址 分 配 机 构 ) 或 其 代理 机 构 申 请 获得 ,具有 全 网 唯一 性 ,可 在 
Internet 上 被 访问 到 ,因而 成 为 用 一 个 少 一 个 的 稀缺 资源 。 私 有 地 址 则 无 须 申请 ,可 以 自由 
分 配 使 用 ,但 仅 限于 在 内 部 网 络 范围 内 有 效 , 无 法 在 Internet 上 实现 寻 址 操作 。 如 果 一 台 使 
用 私有 地 址 的 主机 需要 访问 Internet 网 站 , 则 必须 使 用 NAT 方法 转换 为 公 网 地 址 。 

IP 地 址 是 Internet 上 计算 机 设备 的 标识 ,但 地 址 编码 难以 记忆 、 输 入 烦琐 ,为 此 ， 
Internet 设计 了 域名 (Domain Name) 表 示 法 ,以 接近 自然 语言 的 方式 来 标记 计算 机 ,好 比 手 
机 上 的 电话 号 码 本 ,可 以 让 访问 者 不 必 背 诵 冷冰冰 的 长 串 数字 ,而 是 用 亲切 好 记 的 名 字 。 而 
且 , 即 使 IP 地 址 变 了 (例如 网 站 迁移 ), 只 要 域名 不 变 , 就 不 会 流失 忠实 用 户 。 

域名 采用 点 分 字符 串 结构 ,允许 字母 (不 区 分 大 小 写 ) .数字 和 连 字 符 (-) 的 组 合 ,构成 方 
式 如 下 : 


[二 级 域名 ] . 注册 域名 . 顶级 域名 


最 初 ,Internet 定义 了 六 个 顶级 域名 : com、edu、org、net、gov、mil, 用 以 区 别 不 同 的 行业 领域 ; 
随 着 Internet 推广 到 全 球 ,域名 的 应 用 也 越 来 越 普及 ,先后 推出 了 区 域 性 顶级 域名 (如 com. cn、 
net. hk) 和 国家 顶级 域名 (如 cn\jp); 之 后 还 扩展 出 中 文 等 非 英语 字符 的 顶级 域名 (如 中 国 )。 
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网 络 号 IP 地 址 二 进 制 编码 (16X256 个 ) 


地 址 


Cy | 9 3 ss | hs sd ha allele | ns aes sdds 


Cs | 00. 30.3 elas ls leh bss sl bs fle tod ls lal leas bl la:ls 


is, | WS. 4 as Le x i be da i lis, | edc le lal la Fle | ls sd sa 


network-prefix(20b) 全 0 一 全 1, 连 续 
CIDR 


192. 14. 32.0/20 


CIDR 掩 码 


255 255 240 0 


图 3.6 ”CIDR 地 址 聚合 实例 


特定 顶级 域名 下 的 注册 域名 必须 向 域名 管理 机 构 ( 如 ICANN .CNNIC ) 申 请 获得 ,具有 
唯一 性 。 由 于 采用 先 到 先 得 的 原则 ,域名 成 为 了 Internet 上 的 宝贵 资源 之 一 。 

思考 : 为 什么 有 人 愿意 花 钱 去 抢 注 、 轿 积 域名 ? 

二 级 域名 是 由 用 户 在 注册 域名 下 自行 分 配 的 ,用 于 管理 信息 系统 中 的 不 同体 系 , 例 如 大 
型 网 站 的 不 同 频道 ,企业 网 络 的 不 同 应 用 。 

一 个 域名 对 应 于 一 个 IP 地 址 (IP 地 址 允许 改变 ) ,一 个 IP 地 址 可 以 绑 定 一 个 或 多 个 域 
名 。 但 IP 只 能 识别 IP 地 址 ,不 能 直接 使 用 域名 ,因此 ,Internet 提供 了 将 域名 映射 为 IP 地 
址 的 域名 服务 系统 (Domain Name Service/System,DNS) ,实现 域名 解析 。 

DNS 于 1983 年 由 保罗 。 英 卡 派 届 斯 (Paul Mockapetris) 发 明 , 发 布 为 RFC 882 标准 ， 
1987 年 修正 为 RFC 1034/1035。 如 图 3.7 所 示 ,DNS 具有 类 似 目 录 树 的 等 级 结构 ,分 主 服 
务 器 和 转发 服务 器 ,采用 客户 机 /服务 器 访问 模式 。 当 用 户 在 应 用 程序 中 输入 域名 后 ,由 计 
算 机 向 指定 的 主 DNS 或 辅 DNS 服务 器 (事先 已 由 人 工 或 DHCP 设 定 ) 发 出 解析 请 求 ; 车 
DNS 服务 器 检索 到 域名 , 则 立即 响应 该 请 求 ; 若 DNS 服务 器 检索 不 到 该 域名 , 则 向 其 上 一 
级 DNS 服务 器 发 出 查询 请 求 ,而 根 DNS 服务 器 也 可 向 管理 该 域名 的 其 他 区 域 DNS 服务 器 
进行 查询 ,类 似 一 个 递归 查询 过 程 ,直到 解析 出 域名 ,然后 层 层 回复 ,最 终 交 付 给 需求 方 。 沿 
途 的 DNS 服务 器 可 以 缓存 获得 的 域名 解析 结果 ,以便 下 次 查询 时 可 以 直接 回答 。 缓 存 方法 
虽然 可 以 提高 DNS 效率 ,但 域名 归属 地 所 做 的 IP 地 址 变化 不 能 立即 反映 出 来 ,可 能 引起 解 
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ab a 
ES -他 解析 请 求 及 其 步 又 


-@ 解析 回复 及 其 次 序 


图 3.7 DNS 体系 结构 原理 


析出 错 而 导致 访问 失败 。 

DNS 使 Internet 访问 更 便利 ,然而 也 会 成 为 网 络 安全 攻击 的 目标 。 一 旦 DNS 服务 器 
内 容 被 算 改 、 连 接 被 阻塞 、 系 统 被 毁坏 ,大 批 用 户 的 网 络 访问 无 法 顺利 进行 ,就 会 出 现 一 种 
Internet 假 死 ?现象 : 用 户 习 惯性 地 使 用 域名 但 无 法 访问 网 站 ,而 实际 上 直接 输入 IP 地 址 
是 可 以 访问 的 ,问题 是 几乎 没有 人 会 把 网 站 的 IP 地 址 记录 下 来 以 备 不 时 之 需 。 

计算 机 操作 系统 可 为 本 机 提供 域名 解析 功能 ,方法 是 将 IP 地 址 和 域名 对 应 关系 记录 在 
hosts 文件 (为 可 编辑 的 文本 文件 ) 中 ,优先 生效 。 但 hosts 文件 有 两 个 缺陷 : IP 地 址 的 改变 
无 法 自动 获知 与 更 新 ; 可 能 被 某 些 恶意 程序 利用 ,添加 特定 的 解析 条 目 , 将 网 络 访问 引 向 陷 
阱 网 站 的 地 址 。 例 如 ,用 户 正 确 输 入 了 某 个 网 络 银行 的 域名 ,但 并 不 知道 解析 得 到 的 IP 地 
址 是 错误 的 ,从 而 毫 无 戒备 地 在 假冒 网 站 上 操作 银行 卡 账号 ,后 果 不 堪 设想 。 

在 访问 网 络 资源 时 ,域名 只 能 粗略 地 指出 访问 目标 的 目的 地 计算 机 。 为 了 更 精确 有效 
地 标识 Internet 上 的 各 种 资源 ,如 网 站 文件 .设备 等 , Web 等 应 用 引入 了 统一 资源 定位 符 
(Uniform Resource Locator, URL) ,用 于 指示 Internet 上 任何 计算 机 的 任何 路 径 下 任何 格 
式 的 文件 ,包括 虚拟 化 表示 为 文件 的 计算 机 外 设 等 资源 。URL 的 语法 格式 如 下 : 


应 用 协议 ://[ 账 号 :密码 @][ 主 机 名 . ] 域 名 或 下 地 址 [: 端 口号 ][/ 路 径 ][/ 文 件 名 ][? 参 数 = 值 # 标 志 ] 


URL 字符 串 一 般 是 区 分 字母 大 小 写 的 ,也 可 由 服务 端 设 定 为 不 加 区 分 。 

应 用 协议 有 http ,ftp ,telnet ,mailto ,news \file 等 ,指明 访问 所 用 的 应 用 层 协议 ; 账号 和 
密码 用 于 登录 ,不 常用 ; 主机 名 可 省 略 ,常见 的 有 www、mail 等 ; 如 果 使 用 指定 协议 的 注册 
端口 号 , 则 端口 号 字段 可 以 缺 省 ,否则 就 应 指出 所 需 的 目的 端口 号 ; 路 径 和 文件 名 (或 设备 
名 ) 表 述 文件 存放 的 详细 位 置 ,如 果 文 件 存放 在 根 目录 下 , 则 可 以 省 去 路 径 , 如 果 使 用 标准 浏 
览 器 访问 Web, 还 可 以 省 略 文件 名 index. html; 参数 字段 用 于 查询 数据 库 、 搜 索引 擎 等 
应 用 。 

URL 即 为 Web 所 用 的 超 链接 (hyperlink)。 例 如 : 

http://www. fudan. edu. cn 

http://baike. baidu. com/view/1496. htm 

http://www. baidu. com/s?rsv_bp= 1&wd = % D3%F2%C3%FBSinputT = 2153 


ftp://alice:112233@myfile. istore. net:8100/video/films/2012. mp4 
https://pbnj. ebank. cmbchina. com/userLogin/Login. aspx 
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在 Intranet 内 部 可 以 使 用 Internet 私有 IP 地址 ,为 每 一 台 计 算 机 分 配 IP 地 址 ,而 不 一 
定 要 申请 已 经 非常 稀缺 的 公 网 (全 网 )IP 地 址 。 依 据 这 种 策略 可 以 有 效 地 使 用 现 有 IPv4 的 
地 址 空间 ,而且 在 很 大 程度 上 保障 了 内 部 网 络 的 安全 ,因为 从 外 部 网 络 无 法 看 到 内 部 网 络 的 
情况 ,除非 得 到 技术 支持 和 许可 ,从 外 部 网 络 无 法 访问 内 部 网 络 设 备 , 而 内 部 网 络 设备 则 能 
够 很 容易 地 访问 Internet 。 

然而 ,使 用 私有 IP 地 址 是 无 法 在 Internet 上 进行 寻 址 的 。 要 让 IP 报 文 能 够 在 Internet 
通行 无 阻 , 必 须 采用 公 网 IP 地 址 。 所 以 ,必须 采用 某 种 方法 , 当 内 部 网 络 计 算 机 需要 和 外 部 
Internet 进行 通信 时 ,转换 为 合法 IP 地 址 。 实 现 这 种 Intranet 地 址 规划 及 地 址 转换 的 方法 
就 是 根据 RFC 1631 设计 的 网 络 地 址 翻译 (Network Address Translator, NAT) 技 术 , 用 以 
完成 内 部 私有 IP 地 址 与 外 部 公 网 IP 地 址 的 代 换 工作 。NAT 可 以 是 单独 的 设备 ,但 通常 是 
集成 在 路 由 器 中 ,成 为 路 由 器 功能 之 一 。 

NAT 技术 可 以 使 用 少量 的 (一 个 或 多 个 ) 公 网 IP 地 址 为 Intranet 上 大 量 的 计算 机 服 
务 。 值 得 关注 的 是 ,在 实际 情况 下 ,从 内 部 网 络 发 起 访问 外 部 网 络 计 算 机 的 需求 大 大 多 于 反 
过 来 发 起 的 访问 需求 ,因此 ,NAT 的 设计 是 不 对 称 的 。 

如 图 3. 8 所 示 , 当 内 部 网 络 的 计算 机 192. 168. 0. 123 需要 访问 Internet 上 的 服务 器 
166. 125.77.231 时 ,计算 机 发 送 的 IP 报 文 可 以 顺利 地 发 给 服务 器 ,但 当 服 务 器 进行 发 送 响 
应 报 文 时 ,由 于 目的 IP 地 址 为 私有 地 址 ,在 Internet 上 是 无 效 的 ,协议 交互 因此 无 法 完成 。 
所 以 , 当 IP 报 文 从 内 网 转发 到 Internet 之 前 ,应 由 NAT 将 私有 地 址 翻译 为 公 网 地 址 (此 例 
中 为 路 由 器 的 外 部 端口 的 注册 IP 地 址 202. 120. 224. 96)。 可 见 , NAT 的 出 站 翻译 针对 的 
是 IP 报 文 的 源 IP 地 址 。 当 返回 的 IP 报 文 到 达 路 由 器 后 ,再 由 NAT 将 报 文中 的 目的 IP 地 
址 恢复 为 原来 的 私有 地 址 。 


192.168.0.1 202.120.224.96 166.125.77.231 
(网 关 地 址 ) (注册 IP 地 址 ) “(服务 器 注册 IP 地 址 ) 


192.168.0.123 
(C 类 保留 下 地 址 ) 


源 地 址 : 192.168.0.123 


发 送 


源 地 址 : 202.120.224.96 
IP 报 ee [= 166.125.77.231 


源 地 址 : 166.125.77.231 回复 
宿 地 址 :202.120.224.96 ” | IP 报 


源 地 址 : 166.125.77.231 
宿 地 址 : 192.168.0.123 


图 3.8 NAT 工 作 原理 示意 


NAT 有 以 下 三 种 可 选 的 技术 方法 。 

(1) 静态 翻译 (Static Translation) 。 静 态 翻译 是 指 将 需要 外 联 的 计算 机 的 卫 私有 地 址 
和 公 网 地 址 一 对 一 地 翻译 。 有 多少 台 内 网 计算 机 ,就 需要 准备 多 少 个 公 网 IP 地 址 。 显 而 易 
见 , 这 种 方法 的 使 用 局 限 性 很 强 , 合 法 IP 地 址 的 利用 率 很 低 , 只 在 少数 特殊 场合 下 应 用 。 
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思考 : 为 实现 NAT 静态 翻译 ,NAT 应 维护 何 种 用 于 运行 管理 的 数据 结构 ? 

(2) 动态 翻译 (Dynamic Translation) 。 当 一 台 内 部 网 络 的 计算 机 发 起 对 外 部 网 络 的 访 
问 时 ,NAT 从 公 网 IP 地 址 池 (address pool) 中 取得 一 个 地 址 ,由 该 访问 连接 使 用 ,使 用 完毕 
后 将 该 IP 地 址 归还 给 地 址 池 。 在 这 种 情况 下 , 公 网 IP 地 址 需要 的 数量 可 少 于 内 网 计算 机 
的 数量 , 比 静态 翻译 的 地 址 利用 率 高 。 然 而 ,动态 翻译 方法 看 似 简单 , 却 存 在 许多 不 确定 因 
素 , 实 用 性 也 不 强 。 

思考 : 如 何 确定 IP 地 址 已 经 被 使 用 完毕 ? 

思考 : 当 内 部 网 同一 台 计算 机 访问 不 同 的 外 部 网 计算 机 时 ,是 否 需要 给 予 其 不 同 的 合 
法 IP 地 址 ? 

是 否 可 能 仅 用 一 个 公 网 IP 地 址 ,满足 所 有 内 网 计算 机 的 各 种 访问 需求 呢 ? 

(3) 端口 复 用 (Port-Multiplexing)。 不 管 是 静态 翻译 还 是 动态 翻译 ,IP 地 址 的 利用 和 
转换 策略 都 显得 比较 粗 线条 , 仅 与 IP 地 址 信息 相关 联 。 互 联网 资源 访问 对 应 了 不 同 的 应 用 
层 协 议 ,而 各 个 应 用 层 协 议 具 有 特定 的 TCP/UDP 端口 (port) 。 如 果 把 端口 信息 及 其 映射 
机 制 结合 到 NAT 技术 中 ,就 可 以 利用 更 多 信息 为 算法 服务 ,大 大 提高 地 址 翻译 方法 的 细 
粒度 。 

端口 复 用 NAT 方法 的 基本 原理 是 : 改变 从 内 网 到 外 网 的 IP 报 文 的 源 端 AR ,着 换 为 
唯一 编号 ,并 将 任意 的 私有 IP 地 址 ,任意 的 网 络 应 用 都 映射 到 同一 个 外 部 地 址 。 这 一 算法 
又 称 为 端口 地 址 翻译 (Port Address Translator,PAT) 。 

如 图 3.9 所 示 ,内 网 的 两 台 计算 机 需要 访问 外 网 ,三 种 IP 报 文体 现 了 网 络 访问 的 两 种 
典型 需求 : 不 同 的 计算 机 同时 访问 Internet, 同 一 台 计 算 机 同时 进行 访问 Internet 的 不 同 应 
用 。 端 口 复 用 方法 可 以 实现 将 三 种 IP 报 文 翻译 到 同一 个 IP 地 址 ,并 可 以 在 报 文 返回 时 


Intranet NAT Internet 
T 
源 1 源 4 
mIP: 192.168.0.123--|- 一 一 二 -一 了 一 让 IP: 202.120.224.29| | 
站 | 
| A | 站 1 
四 IP: 161.33.219.45 1 IP: 161.33.219.45 | 相隔 
算 | | Port: 80 | Port: 80 | sa 
上 Pe 
机 [ 拔 | 源 De 
中 IP: 192.168.0.123-|- -- 下- -1T- -K 十 IP: 202.120.224.29 1 1 不 同 
Port 67 -———— 人 Port 161 1 齐 口 
目的 | 目的 | 
不 | | IP: 214.93.271.32 1 IP: 214.93.271.32 | 1 
中 Port: 190 1 [Port:190 | 
i 一 1 1 
算 | | 源 1 Ee 4 
机 | | IP: 192.168.0.210-|-- -了 -一 + 一 IP: 202.120.224. 
Port 33 -一 一- I -FAHPot 162 
目的 1 目的 
IP: 204.17.182.5 1 IP: 204.17.182.5 
Port: 269 | LPort:269 | 


图 3.9 端口 地 址 翻译 原理 


考察 端口 复 用 方法 ,凡是 IP 报 文 的 源 IP 地 址 和 源 端 口号 相同 的 IP 报 文 ,端口 号 都 被 
赋予 同一 个 编号 ,只 要 源 IP 地 址 或 源 端口 号 有 一 者 不 同 ,其 端口 号 就 被 赋予 一 个 新 的 唯一 
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编号 。NAT 将 记录 下 这 些 转换 关系 , 当 IP 报 文 返回 时 ,就 可 根据 目的 端口 号 来 找到 出 站 时 
的 转换 关系 ,从 而 恢复 目的 IP 地 址 和 目的 端口 号 。 因 此 ,出 站 IP 报 文 的 源 端口 号 字段 实际 
上 是 被 NAT 用 以 存放 索引 号 ,索引 号 可 以 随 IP 报 文 行走 四 方 , 一 旦 回 家 ,就 可 以 用 唯一 的 
索引 号 检索 记录 下 的 原始 信息 。 

因为 TCP/UDP 的 端口 号 为 16b, 所 以 最 多 可 以 建立 65 536 个 不 同 的 索引 关系 , 绝 大 多 
数 情况 下 可 以 满足 内 部 网 络 所 有 访问 外 网 需求 的 不 同 源 IP 地 址 和 源 端 口号 组 合 的 需要 。 
即使 发 生 编 码 不 足 情 况 ,也 可 以 淘汰 长 时 间 不 活跃 的 组 合 。 


3.2.2 IPv6 


新 一 代 IP 的 研究 和 提出 源 于 对 现 有 IPv4 不 足 之 处 的 认识 。 最 主要 的 原因 是 IPv4 地 
址 几乎 已 经 枯竭 ,无 法 应 对 Internet 应 用 和 用 户 数量 迅猛 增长 的 需要 ,对 满足 未 来 的 增长 预 
期 更 是 无 限 翡 观 ; 其 次 ,骨干 网 络 上 庞大 的 路 由 表 拖 慢 了 数据 交换 的 速度 ,维护 工作 量 十 分 
惊人 ,而 且 越 来 越 像 一 颗 颗 炸弹 ,随时 可 能 致 Internet 于 死地 ; 此 外 ,IPv4 对 QoS 缺乏 支 
撑 , 安 全 性 很 弱 、 扩 展 选项 过 少 ,不 支持 即 持 即 用 等 ,都 是 颇 受 开发 者 和 使 用 者 诉 病 之 处 。 

然而 ,IP 的 技术 更 新 并 非 只 是 一 个 纯 技 术 问 题 ,制约 新 一 代 IP 全 面 替 代 IPv4 的 因素 
很 多 ,最 大 的 障碍 恰恰 是 Internet 本 身 。 由 于 Internet 非常 成 熟 和 稳固 ,又 无 与 伦比 地 庞 
大 , 现 有 的 绝 大 部 分 IPv4 网 络 设备 不 可 能 轻易 升级 ,也 出 于 投资 保护 的 考虑 不 可 能 全 部 更 
新 。 不 论 是 作为 Internet 基石 的 内 容 提 供 者 (ICP) ,还 是 作为 Internet 生命 力 的 网 络 用户 ， 
绝 大 多 数 的 服务 器 和 个 人 计算 机 都 是 工作 在 IPv4 上 。 虽 然 新 版 操作 系统 普遍 支持 新 一 代 
IP 协议 栈 , 但 不 可 能 一 夜 之 间 同 时 修改 配置 ,结果 就 是 IP 升级 被 深层 冻结 .无限 拖延 。 

IPv4 还 在 使 用 的 主要 原因 是 ,采用 了 各 种 有 效 技术 ,如 ISP 对 上 网 用 户 动 态 分 配 临时 
的 IP 地 址 .内 部 网 络 用户 使 用 私有 了 IP 地 址 并 用 NAT 访问 外 网 等 ,提高 了 宝贵 的 公 网 IP 地 
址 的 利用 率 。 

1. IPv6 报 文 

IPv6 是 IP 的 版 本 6, 又 称 为 下 一 代 IP(IP next generation,IPng), 由 RFC 2460 一 2463 
定义 。IPv6 是 新 一 代 网 络 的 核心 协议 ,新 一 代 互联 网 (NGI) 、 新 一 代 电 信和 网 (NGN) 的 发 展 
可 能 是 IPv6 最 终 完全 取代 IPv4 的 机 会 。 

如 图 3. 10 所 示 ,IPv6 报 文 由 基本 首部 (base header) 可 选 的 扩展 首部 (extension 
header) 以 及 承载 数据 所 组 成 ,但 扩展 首部 不 属于 报 文 的 首部 (报头 ), 而 是 与 承载 数据 一 起 
作为 载荷 (payload) 来 看 待 。 由 于 路 由 器 一 般 不 处 理 扩展 首部 ,因此 ,IPv6 既 有 较 强 的 扩展 
性 和 灵活 性 、 可 提供 更 多 的 功能 ,又 能 保障 网 络 结 点 处 理 的 高 效率 。 


408 扩展 首部 过 项 ”外交 加 | 
基本 | 扩展 | .| 扩展 
Em gi | 首部 2 

| TIPv6 报 文 -| 


3.10 ”IPv6 报 文 一 般 格式 
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IPv6 的 基本 首部 为 固定 40B, 分 8 个 字段 (如 图 3. 11 所 示 )。 相 比 IPv4 报头 ,取消 了 部 
分 字段 : 有 些 已 无 存在 必要 (如 报头 长 度 ), 有 些 可 以 通过 其 他 协议 弥补 (如 校 验 和 ), 有 些 则 
采用 新 的 实现 方法 (如 分 片 偏 移 量 )。 


b— 0 4 12 16 24 31 
0 | 版 本 6 | 通信 量 类 流标 号 
4 有 效 载荷 长 度 下 一 个 首部 | 跳 数 限制 
8 一 
2| IPv6 源 地 址 
16 (128b) 


IPv6 目 的 地 址 
(128b) 


有 效 载荷 
(扩展 首部 及 承载 数据 ) 


图 3.11 IPv6 基本 首部 格式 


版 本 字段 (version) 为 4b ,总 是 等 于 6, 表示 版 本 6。 有 效 载 荷 长 度 为 16b, 以 了 为 单位 ， 
指示 除 基 本 首部 外 的 其 他 部 分 的 长 度 , 最 大 值 为 64K。 跳 数 限制 (hop limit) 字 段 为 8b, 与 
IPv4 中 的 TTL 相同 ,每 经 过 一 次 路 由 器 转发 ,其 值 减 1, 直 到 归 零 时 IP 报 文 被 丢弃 ,防止 报 
文 在 网 络 中 无 休止 地 流转 下 去 。 

通信 量 类 (Traffic Class) 和 流标 号 (Flow Label) 分 别 占 8b 和 20b, 是 用 于 支持 QoS 机 
制 和 流量 工程 的 参数 。 通 信 量 类 字段 可 区 分 不 同 的 IPv6 报 文 的 类 别 或 优先 级 ,数值 0 一 8 
表示 阻塞 控制 业务 量 , 当 阻塞 时 可 允许 丢弃 ,数值 8 一 15 为 非 阻塞 控 制 业务 量 ,不 期 望 被 丢 
弃 。 流 标号 字段 指明 从 特定 源 点 到 特定 终点 ( 单 播 或 组 播 ) 的 一 系列 报 文 ( 源 和 目的 IP 地 址 
相同 ) ,尤其 是 实时 信息 传送 ,属于 同一 个 流 (flow) 的 报 文 有 相同 的 流标 号 , 流 所 流 经 的 路 由 器 
保障 其 具有 指明 的 QoS。 流 标记 可 为 任意 伪 随 机 数 , 不 归属 于 任何 流 的 报 文中 流标 记 置 0。 

IPv6 源 地 址 和 目的 地 址 各 占 128b, 即 16B, 是 IPv4 地 址 长 度 的 4 信 、 地 址 空间 的 2 
倍 。IPv6 地 址 占有 报头 超过 3/4 的 空间 ,是 IP 改进 的 重要 目的 和 内 容 之 一 。 

下 一 个 首部 字段 (next header) 为 8b, 当 有 扩展 首部 时 ,该 字段 的 值 就 是 第 一 个 扩展 首 
部 的 类 型 ,没有 扩展 首部 时 ,该 字段 和 IPv4 的 协议 字段 一 样 ,指明 承载 数据 的 上 层 协 议 类 型 
(如 表 3.4 所 示 )。 

IPv6 协议 共 使 用 6 种 扩展 首部 : 逐 跳 选项 ; @ 源 站 路 由 选择 ; @ 报 文 分 片 ; @ 鉴 别 ; 
回 封装 安全 有 效 载荷 (数据 加 密 ); @ 目 的 站 选项 。 每 个 扩展 首部 均 由 若干 字段 组 成 ,长 度 
各 不 相同 ,但 所 有 扩展 首部 的 第 一 个 字段 都 是 8b 的 下 一 个 首部 (NH) 字 段 。 若 有 多 个 扩展 
首部 ,按照 以 上 先后 顺序 排列 。 
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表 3.4 IPvw6 下 一 个 首部 字段 编码 


编码 协 议 编码 协 议 
0 O@ 逐 跳 选项 43 @ 源 站 路 由 选择 
kl ICMP 44 @ 报 文 分 片 
2 IGMP 45 IDRP 
4 IPv4 46 RSVP 
6 TCP 50 @ ESP( 加 密 ) 
7 UCL 51 @ AH( 鉴 别 ) 
EGP 58 ICMP v6 
9 IGP 59 无 后 续 首 部 
17 UDP 60 @ 目的 站 选项 


基本 首部 路 由 选择 首部 | 报 文 分 片 首部 
rl ci mt | 3 UDP 报 文 
LNH- 路 由 选择 ,上 NH- 报 文 分 片 看 “NH=UDP | 
L_ | 


图 3.12 IPv6 报 文 扩展 首部 示例 


IPv4 中 , 报 文 分 片 由 报 文 分 片 扩 展 首部 完成 。 报 文 分 片 一 律 由 源 发 送 站 进行 ,是 端 到 
端的 控制 ,路 由 器 一 般 不 参与 分 片 。 分 片 长 度 可 根据 数据 链 路 层 MTU (Maximum 
Transmission Unit, 最 大 传输 单元 ) 确 定 ,或 使 用 路 径 MTU 发 现 (Path MTU Discovery) 协 
议 来 确定 。 有 些 扩展 首部 不 允许 被 分 片 ,例如 需要 中 间 路 由 器 处 理 的 扩展 首部 。 

如 图 3. 13 所 示 , 报 文 分 片 扩展 首部 总 共 为 8B, 其 中 分 片 偏 移 量 字 段 为 13b, 指 出 本 分 片 
在 原来 报 文中 的 偏 移 量 , 以 8B 为 计量 单位 ,这 说 明 每 个 分 片 的 长 度 一 定 是 8 的 整数 倍 。M 
字段 是 lb 的 更 多 分 片 (more) 标 志 ,.M=1 表示 后 面 还 有 分 片 ,M 二 0 表示 为 最 后 一 个 分 片 。 

b—0 8 16 29 31 
下 一 个 首部 | 保留 分 片 偏 移 量 。 [保留 [M 
标识 御 


图 3.13 IPv6 分 片 扩展 首部 格式 


标识 符 字段 是 32b 的 数值 ,由 源 发 送 站 生成 ,一 般 每 产生 一 个 新 的 原始 IP 报 文 ,标识 符 
加 1, 保 证 发 送 到 相同 目的 站 点 的 报 文 在 数据 报 的 生存 时 间 内 标识 符 具有 唯一 性 。 一 个 原 
始 报 文 的 所 有 分 片 报 文 继承 该 标识 符 , 即 归属 相同 的 原始 IP 报 文 的 分 片 的 标识 符 是 相 
同 的 。 

设 : 承载 TCP 的 原始 IP 报 文 的 有 效 载荷 长 度 为 LB, 当 前 标识 符 计数 器 为 C, 需 要 分 成 
长 度 为 NB 的 若干 个 分 片 ,应 有 工 二 kN 十 nn, 其 中 nB 为 最 后 一 个 分 片 的 长 度 。 
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又 设 : 在 基本 首部 中 ,以 len 表示 有 效 载荷 长 度 字段 ,以 nh 表示 下 一 个 首部 字段 ; 在 扩 
展 首部 中 ,以 NH 表示 下 一 个 首部 字段 ,SO 表示 分 片 偏 移 量 字 段 ,ID 表示 标识 符 字段 , 则 分 
片 方式 如 图 3. 14 所 示 。 


原始 | 5 一 TCP 报 文 (总 长 度 LB) 


最 后 | ”基本 首部 |, 分 各 扩展 首部 


| Ne 
分 片 | len=nt8 1 SO=(k_DN/8 | 到 
报 文 | ，_nh=44_， |! ID=C ,M=0 


图 3.14 IPv6 报 文 分 片 示例 


如 果 由 于 路 由 变化 ,IPv6 报 文大 于 新 的 发 送 链 路 的 MTU ,路 由 器 可 以 采用 隧道 分 片 
法 ,连同 基本 首部 在 内 一 起 参与 分 片 , 即 进行 二 次 分 片 ( 封 装 式 分 片 ) ,在 链 路 另 一 端 由 IPv6 
协议 机 进行 组 装 , 恢 复原 分 片 。 

源 站 路 由 选择 功能 用 于 指定 转发 路 径 , 其 扩展 首部 格式 如 图 3. 15 所 示 。 其 中 ,地 址 字 
段 长 度 以 8B 为 计算 单位 ; 路 由 选择 类 型 定义 为 0; 路 段 偏 移 指 示 取 值 0 一 23 ,指向 当前 路 
段 的 对 应 的 IP 地 址 , 即 源 站 指定 的 路 径 所 应 当 经 过 的 1 一 24 个 路 由 器 ,每 经 过 一 个 路 由 器 ， 
路 段 偏 移 指示 加 1; 映射 比特 字段 的 每 一 个 比特 对 应 于 24 个 地 址 中 的 一 个 , 若 某 个 比特 为 
1 ,表示 是 严格 的 源 站 选 路 , 即 该 比特 所 对 应 的 地 址 必须 成 为 其 前 一 个 地 址 的 下 一 站 地 址 , 反 
之 , 若 某 个 比特 为 0, 表 示 是 松散 的 源 站 选 路 , 即 该 比特 所 对 应 的 地 址 不 一 定 必须 是 其 前 一 
个 地 址 的 下 一 站 地 址 。 


b= 0 8 16 31 
| 下 一 个 首部 | 地 址 字段 长 度 | 路 由 选择 类 型 | 路 段 偏 移 指示 
| 保留 -0 严格 /松散 选 路 映射 比特 

IPv6 地 址 1 一 24 
128b/ 地 址 


图 3.15 IPv6 源 站 路 由 选择 扩展 首部 格式 


另外 , 逐 跳 选项 扩展 首部 用 于 传送 由 报 文 的 传送 路 径 中 各 个 结 点 检测 的 可 选 信息 ; 目 
的 站 选项 扩展 首部 用 于 携带 只 需 由 报 文 的 目的 结 点 检测 的 可 选 信息 ; 鉴别 扩展 首部 AH 由 
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RFC 1825 和 RFC 1826 规定 ; 数据 加 密 扩 展 首部 ESP 由 RFC 1825 和 RFC 1827 规定 。 
2. IPv6 地 址 


与 IPv4 的 32b(22 一 4294 967 296) 地 址 空间 相 比 ,IPv6 拥有 达 128b 地 址 空间 。 
212 一 340 282 366 920 938 463 374 607 431 768 211 456 

这 个 数量 相当 于 地 球 上 每 平方 米 有 7X102s 个 地 址 ; 如 果 地 址 使 用 频 度 是 100 万 个 / 
ps, 需要 108 年 才能 用 完 。 这 足以 使 IP 地址 分 配 远离 捉襟见肘 的 旭 壹 境地 ,可 以 保证 每 个 
人 的 每 个 随身 电器 都 可 以 获得 一 个 公 网 IP 地 址 。 

当然 ,IPv6 地 址 空间 的 扩大 是 有 代价 的 ,IP 报头 从 20B 增加 了 一 倍 到 40B, 因 此 ,每 个 
IP 报 文 都 要 耗费 更 多 带宽 。 

IPv6 地 址 用 冒号 十 六 进 制 记 法 ,如 : 

3457:76C8:F:5432:813:0:FFFF:7359 

地 址 中 间 部 分 连续 的 0 可 以 作 零 压缩 ,如 7A33::E9.C3D:54::。 任 意 地 址 零 压 缩 只 能 
用 一 次 ,防止 出 现 错误 理解 。 冒 号 十 六 进 制 记 法 也 可 与 IPv4 地 址 的 点 分 十 进 制 记 法 混合 使 
用 ,用 于 IPv4 和 IPv6 的 转换 中 ,如 0:0:0:0:0:0:192. 168. 18. 1, 零 压缩 为 : :192. 168. 18. 1。 

在 表示 IPv6 超 网 时 ,CIDR 地 址 前 级 的 记 法 也 可 进行 零 压缩 ,例如 60b 前 缀 的 IPv6 地 
址 ,以 下 三 种 记 法 等 价 : 

35B8:0000:0000:4A90:0000:0000:0000:0000/60 或 
35B8: :4A90:0:0:0:0/60 或 
35B8:0:0:4A90::/60 

URL 中 IPv6 地 址 可 表示 为 http://[1088::5:503A:450:87C9]:80/index. html。 

IPv6 地 址 有 三 种 类 型 ,除了 与 IPv4 相同 的 单 播 (unicast) 、 组 播 (multicast) 外 ,新 增加 
了 任 播 (anycast) 类 型 。 任 播 的 目的 站 是 一 组 计算 机 ,但 报 文 只 交付 给 其 中 的 一 个 站 点 ,如 
距离 最 近 的 一 个 。IPv6 将 广播 (broadcast) 看 做 组 播 的 一 个 特例 。 

一 个 结 点 (主机 、 路 由 器 ) 可 以 拥有 多 个 IPv6 单 播 地 址 。 

IPv6 地 址 分 为 两 个 部 分 : 可 变 长 度 的 类 型 前 级 定义 了 地 址 的 目的 ,其 余部 分 长 度 也 随 
之 可 变 。RFC 2373 定义 的 类 型 前 级 如 表 3. 5 所 示 。 


表 3.5 IPw 地 址 类 型 前 缀 定义 


类 型 前 级 地 址 类 型 所 占 份 额 
0000 0000 保留 (与 IPv4 兼容 ) 1/256 
0000 0001 = 1/256 
0000 001 保留 给 NSAP 地 址 1/128 
0000 010 保留 给 IPX 地 址 1/128 
0000 011 一 1/128 
0000 1 一 1/32 
0001 一 1/16 
001 可 聚合 的 全 球 单 播 地 址 1/8 
010 基于 网 络 供应 商 的 单 播 地 址 1/8 
011 1/8 


100 基于 地 理 位 置 的 单 播 地 址 1/8 
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续 表 

类 型 前 级 地 址 类 型 所 占 份额 
101 一 1/8 

110 一 i 

1110 一 1/16 
11110 一 1/32 
1111 10 一 1/64 
1111 110 一 1/128 
1111 1110 0 一 1/512 
1111 1110 10 本 地 链 路 单 播 地址 1/1024 
而 三 天 风潮 本 地 站 点 单 播 地址 1/1024 
Ma 坝 调 组 播 地 址 1/256 


IPv6 地 址 中 前 缀 0000 0000 用 于 与 IPv4 地 址 兼容 和 映射 。 兼 容 地 址 用 于 自动 隧道 技 
术 中 ,使 用 这 种 地 址 的 结 点 既 支 持 IPv4 也 支持 IPv6; 映射 地 址 用 于 不 支持 IPv6 的 结 点 。 
地 址 转换 方法 如 图 3. 16 所 示 。 


比特 数 ~ 上 80 -|- 16.|- | 
TIPv4 兼 容 的 IPv6 地 址 |0000 … 0000| 0000 IPv4 地 址 
IPv4 映 射 的 IPv6 地 址 |0000 … 0000|FFFF IPv4 地 址 


图 3.16 IPv6 地 址 与 IPv4 地 址 兼容 和 映射 方法 


IPv6 地 址 具有 3 个 等 级 (如 图 3. 17 所 示 ) : 

第 一 级 ,顶级 聚合 ,全 球 可 寻 址 的 地 址 (top level); 

第 二 级 ,站 点 级 聚合 ,本 地 站 点 (单个 地 点 ) 地 址 (site level) ; 
第 三 级 ,本 地 链 路 (网 络 接口 ) 地 址 (link level) 。 


比特 数 131 入 1181 4 1 下 1 64 1 
~1 PP 一 -~- -一 ~- 一 -一 了 
TLA NLA | SLA 项 
上 四 WA SA | 接口 标 和 
” 顶级 “点 级 。 链 路 级 “1 
*P (Prefix) 


“TLA ID (Top Level Aggregation Identifier) 
*NLA ID (Next Level Aggregation Identifier) 
*SLA ID (Site Level Aggregation Identifier) 


图 3.17 IPv6 单 播 地址 等 级 结构 


IEEE 的 64b 地 址 EUI-64 可 直接 放 入 IPv6 地 址 的 接口 标识 符 中 完成 转换 ,但 要 将 
EUI-64 地 址 的 第 一 字 节 最 低 第 2 位 (G/L 比特 ) 置 1。 

IEEE 802 以 太 网 的 MAC 地 址 为 48b, 与 IPv6 地 址 转换 方法 如 图 3. 18 所 示 , 其 中 c 为 
企业 标识 符 的 比特 ,g 为 I/G 比特 ,G/L 比特 为 0。 

对 于 可 聚合 的 全 球 单 播 地 址 ,格式 前 级 P 二 001,TLA 分 配给 ISP 或 拥有 这 些 地 址 的 汇 
聚 点 (exchange), NLA 分 配给 特定 的 用 户 (subscriber)。SLA 和 IPv4 中 的 子 网 类 似 , 对 应 
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于 在 一 个 地 点 的 一 组 计算 机 和 网 络 ,相距 较 近 , 且 由 一 个 单位 管理 (相当 于 局 域 网 或 内 
部 网 ) 。 

接口 标识 符 即 为 计算 机 和 网 络 的 单个 接口 。IPv6 使 用 一 种 邻 站 发 现 协议 (Neighbor 
Discovery Protocol) 来 确定 相 邻 接 的 结 点 (ICMPv6 中 包含 ) ,就 是 采用 了 硬件 地 址 (如 MAC 
地 址 ?映射 的 方法 ,而 不 需要 采用 ARP(Address Resolution Protocol, 地 址 解析 协议 ) 解 析 。 


47 23 0 
MAC 
cccccc0gcccccccccccccccc 24b 
地 址 jl 
a pA 
7 区 、 、 
Re 
+ OxFFFE ~ be 
evo cccceel rv | 24b 
地 址 . 
63 9 23 0 
一 一 一 
64b 接 口 标识 符 


图 3.18 MAC 地 址 转换 为 IPv6 地 址 


33253. "TCPXUDP 

4 TCR 

传输 控制 协议 (Transport Control Protocol,TCP) 是 OSI 模型 的 第 四 层 运输 层 协议 ,由 
RFC 793 规定 。 

TCP 和 IP 是 非常 理想 的 搭档 ,IP 提供 寻 址 和 路 由 ,并 能 适应 各 种 通信 系统 (数据 链 路 
层 , 物 理 层 ) ,而 TCP 则 通过 虚 电 路 和 流量 控制 等 操作 ,很 好 地 弥补 了 IP 不 可 靠 传输 的 缺 
陷 。 因 此 ,TCP 成 为 许多 Internet 应 用 层 协议 的 网 络 服务 提供 者 。 

相对 IP 而 言 ,TCP 比较 复杂 。 为 完成 建立 连接 、 传 输 数据 等 功能 ,需要 相应 的 PDU 来 
传递 控制 信号 。TCP 的 PDU 报头 结构 如 图 3. 19 所 示 ,最少 20B, 主 要 字段 说 明 如 下 。 


ES Ee 有 

0 源 赠 口 目的 端口 

4 | 序列 号 | 

8 局 号 

1 标志 位 窗口 大 小 

16 校 验 和 优先 指针 

20! 选项 y | 
， (长度 不 定 ， 可 为 0) | 

数据 


图 3.19 TCP 报 文 


(1) 源 端口 (Source Port) : 16 位 的 源 端口 号 ,其 中 包含 初始 化 通信 的 端口 。 源 端口 和 
源 IP 地址 的 作用 类 似 , 用 以 标示 报 文 的 返回 点 。 
(2) 目的 端口 (Destination Port) : 16 位 的 目的 端口 号 定义 传输 的 目的 ,指明 接收 报 文 
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的 计算 机 上 的 应 用 程序 目标 。 

(3) 序列 号 (Sequence Number): 32 位 的 序列 号 由 接收 端 计 算 机 使 用 。 当 SYN( 同 步 ) 
开始 时 ,序列 号 设 定 为 初始 序列 码 (Initial Sequence Number,ISN ) ,而 第 一 个 数据 字 节 是 
ISN 十 1。 序列 号 可 以 补偿 传输 中 的 不 确定 情况 。 

(4) 应 答 号 (Acknowledgment Number): 32 位 的 序列 号 由 接收 端 计 算 机 使 用 ,如 果 设 
置 了 ACK 控制 位 ,该 值 表示 下 一 个 准备 接收 的 序列 号 。 

(5) 标志 位 (Code Bits): 包括 4 位 报头 长 度 CHLEN) .6 位 保留 位 和 6 位 标志 位 ,具体 
为 紧急 标志 URG 应答 标志 ACK ,推送 标志 PSH ,复位 标志 RST、 同 步 标 志 SYN 完成 标志 


FIN。 

(6) 窗口 大 小 (Window Size): 16 位 ,表示 已 准备 好 接收 的 每 个 TCP 数据 段 的 最 大 
长 度 。 

(7) 优先 指针 (Urgent Pointer) : 16 位 ,指向 后 面 是 优先 数据 的 字 节 ,在 URG 标志 设置 
时 才 有 效 。 


鉴于 TCP 的 复杂 性 , 仅 讨论 连接 过 程 。 一 个 TCP 连接 被 称 为 一 次 会 话 (session)。 建 
立 TCP 连接 就 是 创建 会 话 的 过 程 。 由 于 TCP 连接 需要 经 过 "请 求 一 响应 一 确认 ”三 个 阶 
段 ,因此 称 为 三 次 握手 (triple-handshaking)。 简 要 连接 建立 过 程 如 图 3. 20 所 示 。 


侦 听 连接 


图 3.20 TCP 连接 三 次 握手 示意 


第 一 次 握手 : 发 起 方 A 发 送 SYN 报 文 (syn= 门 ,A 进入 SYN_SENT 状态 ,等 待 对 方 B 
响应 。 

第 二 次 握手 : B 收 到 SYN 报 文 ,必须 确认 A 的 SYN(Cack=j 十 1), 同 时 自己 也 发 送 一 
个 SYN 包 (syn==k), 即 SYN 十 ACK,B 进 入 SYN_RECYV 状态 ,等 待 A 确认 。 

第 三 次 握手 : A 收 到 SYN 十 ACK 报 文 ,向 也 发 送 确认 包 ACK(ack 二 & 十 1),A 和 B 均 
进入 ESTABLISHED( 连 接 建 立 ) 状 态 , 完 成 三 次 握手 。 

2. UDP 


用 户 数 据 报 协议 (User Datagram Protocol, UDP) 由 RFC 768 定义 ,一 方面 和 TCP 一 
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样 ,属于 OSI 的 第 四 层 运输 层 , 另 一 方面 ,就 如 其 名 Datagram, 又 和 IP 一 样 ,是 面向 非 连接 


的 数据 报 传输 协议 。 


如 图 3. 21 所 示 ,U 


DP 的 报 文 结构 非常 简单 ,长 度 为 8B 的 报头 仅 有 最 为 必要 的 4 个 字 


段 ,而 且 其 中 只 有 与 TCP 一 致 的 源 端口 和 目的 端口 提供 了 运输 层 应 有 的 服务 功能 。 


0 


4 


源 端口 


数据 报 总 长 度 


数据 


图 3.21 


UDP 报 文 


相 比 TCP,UDP 几乎 是 “ 零 协 议 ”, 那 么 ,为 什么 拥有 功能 完备 的 TCP 的 同时 ,还 需要 UDP 
呢 ? 如 表 3. 6 所 示 ,两 个 协议 的 差异 很 明显 ,各 有 特点 ,在 一 定 程度 上 回答 了 这 个 疑问 。 


表 3.6 TCP 和 UDP 比较 


TCP UDP 
协议 复杂 性 较 复杂 很 简单 

逻辑 连接 必须 先 建立 连接 不 必 建 立 连接 

数据 传输 可 靠 不 保证 可 靠 

流量 (拥塞 ) 控 制 支持 不 支持 

占用 计算 资源 较 多 很 少 

协议 机 状态 有 多 种 状态 无 状态 

对 网 络 服务 要 求 较 高 质量 无 要 求 

对 计算 机 性 能 要 求 较 高 性 能 较 低 性 能 

网 关 穿 透 能 力 较 弱 较 强 

传输 实时 性 较 差 (时 延 较 大 ) 较 好 (时 延 较 小 ) 

支持 应 用 层 协 议 FTP、HTTP、Telnet、SMTP 等 TFTP、SNMP IPSec 、RIP 等 


思考 : 环境 温度 测量 系统 应 采用 TCP 还 是 UDP 协议 ? 为 什么 ? 


3. Socket 


TCP/UDP 使 用 端口 (port) 来 区 分 应 用 层 协 议 、 识 别 不 同 的 进程 。 例 如 ,IP 协议 机 向 上 
层 递 交 报 文 ,如 果 发 现 端口 号 为 21, 则 将 交 给 FTP 进程 。 所 以 ,端口 号 相当 于 进入 各 自 归 
属地 的 通行 证 号 码 。IETF IANA 定义 了 三 种 端口 组 (常见 的 端口 号 分 配 如 表 3.7 所 示 ) 。 

(1) 公认 端口 (Well-known Ports) : 0 一 1023 。 


(2) 注册 端口 (Registered Ports) : 1024 一 49 151。 


(3) 动态 /私有 端口 (Dynamic/Private Ports): 49 152 一 65 535 。 

在 Internet 应 用 系统 中 ,客户 端 计算 机 通常 不 关心 端口 号 。 作 为 应 用 活动 的 发 起 方 , 客 
户 端 程序 可 以 自行 分 配 动态 或 私有 的 源 端口 号 (Source Port) ,只 需 保 证 该 端口 号 是 本 计算 
机 上 唯一 的 ,然后 可 侦 听 该 端口 号 来 获取 返回 的 报 文 。 而 规定 的 端口 号 (公认 端口 或 注册 端 
口 ) 一 般 用 于 服务 器 端 , 作 为 报 文中 的 目的 端口 号 (Destination Port) ,以 体现 用 户 真正 的 访 


问 意 图 。 
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表 3.7 常用 TCP/UDP 端口 号 


端口 号 TCP/UDP 应 用 层 协 议 中 文 名 称 与 简要 说 明 
TCP/UDP Echo 回 显 
19 UDP CharGen 返回 随机 字符 报 文 
20/21 TCP FTP 文件 传输 /控制 
23 TCP Telnet 远程 登录 
25 TCP SMTP 电子 邮件 
53 TCP/UDP Domain 域名 服务 
67/68 UDP DHCP DHCP( Bootstrap) 服 务 器 /客户 端 
69 UDP TFTP 简单 文件 传输 
70 TCP Gopher Gopher 
79 TCP Finger Finger 
80 TCP HTTP WwW 超 文本 传输 
110 TCP POP3 电子 邮件 “邮局 "(版 本 3) 
123 UDP NTP 网 络 对 时 
143 TCP IMAP4 消息 访问 
161/162 UDP SNMP 网 络 管理 /告警 (Trap) 
179 TCP BGP 边际 网 关 路 由 
194 TCP IRC 聊天 室 
389 TCP LDAP 轻 量 目录 访问 
443 TCP/UDP SHTTP 安全 HTTP 
500 UDP IPSec 密 钥 交换 
513 TCP rlogin 远程 登录 (UNIX) 
520 UDP RIP 路 由 协议 RIP( 版 本 1 和 2) 
531 TCP Conference 会 议 聊 天 


思考 ; 如 果 发 出 报 文 的 端口 号 为 LP,,P,], 那 么 接收 到 的 回复 报 文 的 端口 号 是 怎样 的 ? 

在 网 络 通信 过 程 中 ,仅仅 依靠 TCP/UDP 端口 号 是 不 够 的 。 端 口号 必须 与 目的 IP 地 址 
相 结 合 才 有 实际 意义 。 因 此 ,应 用 需求 实际 上 包含 了 两 个 要 素 : 网 络 地 址 和 应 用 类 型 。 前 
者 指示 “去 哪里 ”, 后 者 说 明 “ 干 什么 ”。 

TCP/IP 协议 栈 一 般 为 应 用 层 协 议 提 供 一 种 网 络 服务 接口 ,使 应 用 程序 可 以 根据 需求 
进行 调用 ,获取 特定 的 数据 传输 服务 发送 和 接收 相关 的 报 文 。 

如 图 3. 22 所 示 ,TCP/IP 网 络 服务 接口 就 是 套 接 字 (Socket) 。 

Socket 是 IP 地址 和 TCP/UDP 端口 号 的 结合 体 ,可 以 描述 为 地 址 矢量 {IPaddr,port)， 
IPaddr 决定 目标 计算 机 , port 决定 应 用 及 其 进程 。Socket 也 可 描述 为 一 个 四 元 组 
LsrcIPaddr,srcPort,dstIPaddr,dstPort]。 在 网 络 上 ,具有 相同 四 元 组 的 IP 报 文 属于 同一 个 
流 (flow)。 

Socket 是 一 套 接口 规范 ,包括 以 下 技术 要 点 。 

(1) Socket 可 看 做 TCP/IP 协议 机 上 的 一 层 外 壳 Cshell) ,可 以 屏蔽 许多 无 关 的 协议 细 
节 ,提供 友好 的 、 规 范 的 网 络 服务 。 

(2) Socket 可 向 应 用 层 协议 提供 创建 和 关闭 连接 (对 于 TCP)、 全 双 工 传输 数据 等 
功能 。 
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(3) 接收 方 可 侦 听 Socket 接口 ,接收 指定 端口 的 报 文 。 

(4) Socket 具备 两 种 数据 服务 类 型 (实际 上 就 是 两 种 运输 层 协议 ) 。 

J@ 流 式 数据 Sock_Stream: 提供 连续 的 、 可 靠 的 ,双向 的 、 基 于 连接 的 字 节 流 数据 传输 
机 制 , 使 用 TCP。 

@ 块 式 数据 Sock_Datagram: 提供 面向 非 连接 的 、 不 保证 可 靠 的 .成 块 的 数据 传输 机 
制 ,使 用 UDP。 
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Internet 


图 3. 22 套 接 字 接 口服 务 原理 


3.3 ”Internet 典型 应 用 协议 


3.3.1 Telnet 


远程 登录 协议 (Telnet) 用 于 通过 Internet 远程 访问 并 操作 计算 机 主机 ,如 进行 远程 登 
录 操 作 系 统 、 远 程 执行 计算 任务 等 。Telnet 协议 标准 由 RFC 854/855 规定 ,是 最 早期 的 
Internet 应 用 层 协 议 ,至 今 仍然 在 发 挥 重要 作用 。 

计算 机 的 多 用 户 、 多 任务 操作 系统 允许 多 个 (可 达 数 十 个 ) 用 户 终端 设备 (terminal) 连 
接 并 进行 交互 式 运行 。 对 于 每 一 个 用 户 而 言 ,仿佛 独占 着 计算 机 ,实际 是 处 在 操作 系统 管理 
下 的 相对 独立 的 虚拟 用 户 空间 (虚拟 主机 ) 中 。 多 用 户 接 人 方式 经 历 了 三 个 阶段 的 发 展 。 

(1) 简单 终端 。 终 端 由 显示 屏 和 键盘 组 成 ,通过 异步 串 行 通信 接口 (com) 与 主机 连接 ， 
只 能 进行 命令 行 操作 。 受 通信 距离 的 局 限 ,终端 必须 部 署 在 主机 周围 数 十 米 的 范围 内 。 

(2) 仿真 终端 。 使 用 PC 模拟 简单 终端 的 输入 输出 ,仍然 采用 com 接口 ,但 可 支持 窗口 
式 用 户 操作 界面 ,提高 了 访问 便捷 性 。 

(3) 远程 终端 。 计 算 机 终端 (本 质 上 是 客户 端 程序 ) 通 过 Internet 与 主机 互 连 ,采用 
Telnet 协议 ,支持 命令 行 或 窗口 式 远程 操作 ,还 可 采用 后 台 隐 藏 式 自动 运行 方式 。 
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Internet 的 E-mail 系统 最 初 就 是 采用 Telent 登录 到 服务 器 ,输入 并 运行 操作 系统 命令 
来 完成 电子 邮件 的 编辑 发送、 接收 .处 理 等 任务 。 

Telnet 协议 为 客户 机 /服务 器 互 连 模式 ,运行 在 TCP 上 (端口 号 为 23)。Telnet 客户 机 
与 服务 器 是 通过 TCP 传送 命令 (字符 串 ) 和 返回 响应 信息 的 方式 实现 交互 。 客 户 机 具有 两 
种 状态 : 命令 方式 和 会 话 方式 。 前 者 让 用 户 对 Telnet 进程 (本 地 客户 机 ) 发 布 指令 ,完成 建 
立 连接 ,释放 连接 等 操作 ; 后 者 情况 下 用 户 输入 的 命令 被 交付 给 远程 计算 机 处 理 。 系 统 运 
行 时 ,两 种 状态 可 使 用 相应 的 命令 进行 转换 。 

Telnet 客户 机 始终 是 会 话 过 程 的 发 起 方 和 控制 方 。 初 始 情 况 下 ,客户 机 处 于 命令 方 
式 , 运 行 open 十 二 地 址 或 域名 二 命令 发 起 TCP 连接 ,要 求 接 入 Telnet 服务 器 ; 网 络 连接 成 
功 后 ,自动 进入 会 话 方式 ; 远程 服务 器 首先 回 送 login 和 password 字符 串 ,提示 用 户 传 送 正 
确 的 用 户 名 (账号 ) 和 口令 (密码 ); 如 果 账 号 验证 正确 ,用 户 就 可 进一步 发 送 操作 命令 ,远程 
控制 服务 器 的 运行 ; 所 有 操作 任务 完成 后 ,输入 close 命令 结束 会 话 (释放 TCP 连接 ), 回 到 
命令 状态 ; 输入 quit 命令 将 完全 退出 Telnet 应 用 程序 。 

Telnet 程序 可 设置 为 字符 传送 模式 (每 个 输入 字符 一 个 TCP 报 文 ) 或 字 串 传送 模式 (多 
个 字符 或 整 条 命令 合并 传输 ) 。 服 务 器 可 提供 字符 回 显 (echo) 功 能 ,兼容 简单 终端 的 操作 。 

思考 : 计算 机 有 哪些 方法 能 够 阻止 Telnet 访问 ? 


373.2 "FTP 


文件 传输 协议 (File Transfer Protocol,FTP) 用 于 实现 各 类 文件 的 可 靠 传 输 , 由 RFC 
959 标准 定义 ,运行 在 TCP 上 (端口 号 20/21) ,是 最 早 的 应 用 层 协 议 之 一 。 由 于 计算 机 的 各 
种 内 容 , 如 文档 .音乐 ,图片 .电影 .软件 等 均 以 文件 形式 存储 ,获取 内 容 就 是 获得 文件 ,因此 
FTP 在 Internet 上 的 应 用 非常 广泛 和 频繁 。 

FTP 采用 客户 机 /服务 器 互 连 结构 ,并 有 主动 (active/port) 和 被 动 (passive) 两 种 通信 方 
式 。 主 动 方式 下 ,数据 连接 由 服务 器 发 起 ,被 动 方式 下 服务 器 被 动 监 听 端 口 ,连接 均 由 客户 
机 发 起 ,有 利于 穿越 客户 端的 防火 墙 限制 ,例如 大 部 分 Web 浏览 器 都 要 求 使 用 被 动 FTP 
方式 

主动 方式 的 FTP 建立 连接 过 程 如 下 。 

(1) FTP 客户 端 打开 一 个 随机 的 TCP 端口 zCz 二 1024) ,作为 命令 端口 ,连接 至 服务 器 
的 端口 21, 用 于 传输 控制 流 。 

(2) 客户 端 启动 监听 数据 端口 zx 十 1, 同 时 用 端口 21 向 服务 器 报告 正在 监听 的 端口 号 
并 且 已 准备 好 从 该 端口 接收 数据 。 

(3) 服务 器 打开 端口 20, 发 起 与 客户 端 数 据 端 口 + 十 1 的 TCP 连接 (被 动 方式 下 服务 器 
等 待 连接 )。 连 接 成 功 后 用 于 传输 数据 流 。 

(4) 客户 端 接受 连接 建立 ,然后 向 服务 器 发 送 应 答 消 息 ,告知 连接 已 经 准备 好 。 

连接 建立 后 ,FTP 可 选择 字 节 流 模式 .数据 块 模式 或 压缩 模式 传输 文件 数据 ,数据 可 为 
ASCII 编码 .EBCDIC 编码 或 二 进 制 编码 (binary, 例 如 图 像 、 可 执行 文件 ) ,支持 非 结构 化 文 
件 、 结 构 化 记录 和 分 页 式 数 据 。 

FTP 可 使 用 命令 实现 用 户 登录 (user/password/account)、 显 示 文 件 列表 (list) 修改 当 
前 路 径 (cwd/cdup) 、 更 改 文件 名 (rnfr/rnto) 、 删 除 文件 (dele) 或 退出 (quit) 等 控制 操作 , 当 
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然 最 核心 的 操作 是 实现 文件 传送 。RETRIEVE(retr) 用 于 客户 端 从 FTP 服务 器 获取 文件 ， 
即 常 用 的 下 载 (download); STORE (stor) 用 于 从 客户 端 传送 文件 给 服务 器 , 即 上 传 
(upload) 。 

许多 公共 的 FTP 服务 器 支持 匿名 登录 方式 ,以 anonymous 为 用 户 名 ,不 需要 口令 , 存 
在 较 大 的 安全 隐患 。 与 Telnet 应 用 类 似 ,FTP 也 分 为 字符 型 命令 行 界面 和 窗口 型 图 形 化 界 
面 ,后 者 可 由 专门 的 客户 端 软件 实现 (可 便捷 地 单 击 或 拖 动 文件 ), 也 可 由 Web 浏览 器 及 其 
插件 实现 。 

简单 文件 传输 协议 (Trivial File Transfer Protocol,TFTP) 是 一 种 简化 的 FTP, 于 1980 
年 定义 为 RFC 1350 标准 。TFTP 通常 被 较 低 性 能 的 计算 机 用 于 传输 小 文件 。TFTP 的 部 
分 技术 基于 更 早期 的 EFTP, 而 EFTP 是 通用 分 组 协议 (PUP Protocol) 的 一 部 分 。 

TFTP 使 用 UDP( 端 口号 69) 为 传输 协议 ,不 提供 用 户 登录 、 目 录 列 表 等 功能 。TFTP 
协议 通信 过 程 如 下 。 

(1) 客户 机 发 送 读 请 求 (RRQ) 或 写 请 求 (WRQ) 给 服务 器 ,其 中 包含 文件 名 和 传输 模式 
(ASCII 或 二 进 制 编码 ) 。 

(2) 服务 器 发 送 ACK 应 答 ,指出 了 数据 报 文 所 用 的 端口 号 。 

(3) 发 送 方向 接收 方 传送 经 编号 的 数据 报 文 , 除 最 后 一 个 外 ,都 为 全 尺寸 的 文件 数据 
块 ,每 次 只 发 送 一 个 报 文 (发 送 窗口 为 1 )。 最 后 的 数据 报 文 必须 包含 少 于 全 尺寸 的 数据 块 ， 
以 表明 文件 传输 结束 ; 如 果 被 传输 的 文件 正好 是 全 尺寸 块 的 整数 倍 , 则 最 后 应 发 送 一 个 0 
字 节 数据 块 的 报 文 。 

(4) 接收 方 用 相应 编号 的 ACK 应 答 每 一 个 数据 报 文 , 即 为 半 双 工 的 乒乓 式 协 议 。 


3;3:3 ‘SMTPXPOP 


电子 邮件 (Electronic Mail, E-mail) 从 1971 年 诞生 起 ,一 直 是 Internet 应 用 的 常 青 树 。 
当 用 户 注册 了 E-mail 账号 后 ,就 拥有 了 全 网 唯一 的 电子 邮件 地 址 ,格式 为 : 


用 户 名 @ 域 名 


E-mail 结构 非常 类 似 于 传统 的 信件 ,分 为 信封 ( 信 头 ) 和 信 体 两 个 部 分 。 信 封包 含 了 发 
信人 地 址 . 收 信 人 (包括 抄 送 或 密 送 的 收 信人 ) 地 址 .主题 .优先 级 和 日 期 等 字段 ; 信 体 包含 
了 信件 内 容 和 附件 。 

@ 符 号 恐怕 是 Internet 上 最 美的 字符 之 一 。 它 简洁 .生动 .直观 ,正好 是 at( 在 …… ) 的 
缩写 ,不论 是 书写 .朗读 还 是 计算 机 解析 ,都 显得 完美 无 瑕 。 电 子 邮 件 应 用 的 设计 者 之 一 雷 。 
汤姆 林 森 (Ray Tomlinson) 在 谈 到 为 何 选择 @ 符 号 时 曾 说 过 :“ 我 只 不 过 看 了 看 它 (@), 它 
就 在 那里 (键盘 上 ) 。 我 甚至 没有 尝试 其 他 字符 。" 好 一 次 美丽 的 偶遇 。 

相 比 之 下 ,URL 中 的 “://” 组 合 符号 则 显得 腾 肿 .丑陋 和 不 知 所 云 , 完 全 是 面向 软件 工 
程 师 的 技术 格式 ,而 不 是 面向 使 用 者 的 友好 形式 。 不 仅 输入 时 费时 费力 ,保存 和 传输 时 浪费 
了 更 多 字 节 。 

E-mail 采用 Internet 应 用 层 的 简单 邮件 传送 协议 (Simple Mail Transfer Protocol 
SMTP) 发 送 邮件 。SMTPCRFC 821/822) 使 用 TCP( 端 口号 25) 在 E-mail 服务 器 之 间 、 电 子 
邮局 和 E-mail 服务 器 之 间 运 行 。 


66 
络 协 议 与 网 络 安全 (第 2 版 ) 


E-mail 系统 没有 传统 意义 上 的 用 户 端 客户 机 ,用 户 需要 使 用 Telnet 协议 登录 到 其 账号 
归属 的 Email 服务 器 ,然后 使 用 相关 命令 来 编辑 和 发 送 邮 件 、 查 看 接收 到 的 邮件 。 为 了 方 
便 用 户 操作 ,专门 设计 的 窗口 式 邮 件 客户 端 软件 (如 Outlook) 起 到 电子 邮局 的 作用 ,采用 
RFC 1081/1939 电子 邮局 协议 (Post Office Protocol version 3,POP3) ,工作 在 TCP( 端 口号 
110) 上 ,实现 自动 获取 E-mail 服务 器 上 收 件 箱 中 的 邮件 并 存放 在 计算 机 中 供 随时 处 理 , 而 
发 送 邮 件 仍 然 采 用 SMTP。 另 一 种 常用 方法 是 采用 浏览 器 访问 Web Mail, 以 Web 服务 器 
作为 邮件 收发 代理 ,用 户 通 过 操作 网 页 来 接收 和 发 送 电 子 邮 件 。 

Internet 邮件 访问 协议 (Internet Message Access Protocol version 4,IMAP4) 是 POP3 
的 改进 协议 ,提供 了 邮件 检索 和 处 理 的 新 功能 ,用 户 不 必 下 载 邮件 正文 就 可 以 看 到 邮件 的 标 
题 .摘要 ,可 以 使 用 客户 端 软件 对 服务 器 上 的 邮件 和 文件 夹 等 进行 操作 。 

如 图 3. 23 所 示 ,E-mail 服务 器 系统 包括 三 个 关键 模块 。 

(1) 邮件 传输 代理 (Mail Transport Agent,MTA): 负责 把 邮件 由 一 个 服务 器 传送 到 另 
一 个 服务 器 的 邮件 投递 代理 。 


(2) 邮件 投递 代理 (Mail Delivery Agent, MDA): 把 接收 到 的 邮件 分 发 到 用 户 的 邮 
箱 中 。 
(3) 邮件 用 户 代 理 (Mail User Agent,MUA) : 协助 用 户 读 写 邮 件 。 
其 他 
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作 Ka 读 写 邮 件 / /SMTP 发 送 邮件 
| 邮 || 邮 || 邮 中 邮 [| 邮 本 POP3 下 载 邮件 
箱 | 箱 呈 箱 呈 箱 J 箱 读 写 邮 人 2 
| 2 /HTTP 读 写 邮件 
| = = 人 im) 
-J MUA EE Db A 
SR -一 -HTTP 读 写 邮 件 


图 3.23 E-mail 系统 组 成 结构 示意 


除了 基本 的 邮件 收发 功能 外 ,E-mail 系统 可 支持 邮件 列表 (mail list) 自动 回复 .定时 发 
送 、 外 部 邮箱 POP 代理 等 扩展 功能 。 

E-mail 技术 经 过 多 年 的 发 展 ,逐步 从 单纯 的 文本 型 邮件 演化 出 超 文本 邮件 、 多 媒体 邮 
件 、 安 全 邮件 (可 加 密 和 电子 签名 )。 在 移动 计算 领域 ,出 现 了 面向 手机 用 户 的 WAP Mail 和 
Push Mail( 实 现 邮 件 主 动 推 送 功 能 )。 

由 于 Internet 上 E-mail 通常 为 免费 .匿名 的 服务 ,邮件 发 送 成 本 低 .效率 高 ,因此 , 常 被 
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人 用 来 群发 广告 信 、 欺 诈 信 等 垃圾 邮件 (spam)。 据 统计 ,垃圾 邮件 占 E-mail 总 量 的 80%% 一 
90% ,成 为 E-mail 系统 挥 之 不 去 的 焉 梦 。 
思考 : 试 比较 邮件 客户 端 软 件 和 Web Mail 在 应 用 上 的 优势 和 劣势 。 


3.3.4 HTTP 


万 维 网 (World Wide Web,WWW) 简 称 Web, 虽 然 在 Internet 应 用 中 出 现 较 晚 (1990 
年 ), 但 发 展 迅猛 。Web 体现 了 瘦 客 户 机 的 思想 ,而 且 具 备 跨 平台 的 优良 技术 特性 ,已 经 成 
为 最 主要 的 信息 发 布 和 访问 手段 。 

如 图 3. 24 所 示 ,Web 可 以 视 为 架设 在 Internet 的 一 张 虚拟 的 网 络 , 网 络 的 结 点 为 Web 
网 站 (Web site) 及 其 保存 的 Web 网 页 (Web page) ,网 络 的 连接 为 超 链接 (hyper-link) , 即 指 
示 各 类 资源 位 置 的 URL。 各 种 信息 相互 交叉 关联 ,形成 网 状 结构 ,将 Internet 上 的 资源 联 
成 一 体 ,便于 搜索 和 访问 。 


HTML | - 
网 页 后 


图 3.24 Web 网 络 原 理 


Web 网 页 遵循 RFC 1866 定义 的 超 文本 标记 语言 (Hyper-Text Markup Language， 
HTML) 标 准 ,为 结构 化 的 文本 文件 ,使 用 不 同 的 标记 来 表达 各 种 多 媒体 信息 .显示 格式 和 
访问 操作 。 如 下 所 示 为 一 个 简单 的 Web 网 页 。 


<html > 

<head> 

<title> 欢 迎 访问 </title> 

</head> 

<body> 

<center> <p> <a href = "http://www. fudan.edu.cn"> 复 旦 大 学 </a> </p> </center> 
<center> <p> < img src= "fudan gate. jpg"> </p> </center> 

</body > 

</html > 


通常 一 个 网 站 的 首页 (或 称 主页 ) 文 件 为 index. html, 存 放 在 根 目录 下 ,其 他 网 页 文件 和 
所 需 的 图 片 .音频 等 文件 存放 在 各 级 目录 下 。 

Web 访问 使 用 标准 化 的 浏览 器 (browser)。Web 浏览 器 可 以 解释 每 一 张 网 页 包含 内 容 
的 含义 ,并 按 网 页 设计 要 求 显示 在 浏览 器 窗口 中 。 浏 览 器 本 质 上 是 一 个 虚拟 机 软件 ,在 不 同 
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操作 系统 环境 下 HTML 网 页 有 相同 的 显示 效果 ,而 且 逐 步 扩展 到 可 以 运行 戏 人 在 网 页 中 
的 脚本 程序 和 Java 程序 。 

浏览 器 负责 访问 用 户 指 定 的 网 站 ,并 采用 RFC 1945 定义 的 超 文本 传输 协议 (Hyper- 
Text Transfer Protocol,HTTP) 来 下 载 网 页 文件 。HTTP 运行 在 TCP 上 ,默认 端口 号 为 
80, 具 有 如 下 特点 。 

(1) HTTP 属于 面向 对 象 的 协议 ,适用 于 分 布 式 超 文本 信息 访问 。 浏 览 器 作为 客户 机 
只 需 向 Web 服务 器 传送 请 求 方法 和 路 径 ,协议 简单 ,降低 了 程序 复杂 度 ,执行 速度 快 、 效 
率 高 。 

(2) HTTP 允许 传输 由 content-type 标记 的 任意 类 型 的 数据 对 象 ,灵活 性 强 ,可 满足 各 
种 应 用 需求 。 

(3) HTTP 是 无 状态 协议 ,不 需要 记忆 事务 处 理 进 程 的 每 个 环节 ,不 需要 进行 复杂 的 同 
步 协 作 ; 每 次 TCP 连接 只 处 理 一 个 请 求 ,服务 器 处 理 完 请 求 并 收 到 客户 机 的 应 答 后 即 断 开 
连接 。 

HTTP 主要 分 为 客户 机 (浏览 器 ) 发 送 的 请 求 报 文 和 服务 器 发 送 的 响应 报 文 。 

请 求 报 文 由 三 部 分 组 成 : 请 求 行 (request line) .请求 头 (request header) 请求 体 
(request body)。 如 果 报 文 有 请 求 体 , 则 在 请 求 头 和 请 求 体 间 插 入 一 个 空 行 。 请 求 报 文 为 文 
本 型 ,每 行 都 以 CR-LF( 回 车 和 换行 符 ) 结 尾 。 

请 求 行 格式 为 : 

<method> <URL> <version> 


其 中 : method 为 请 求 方法 ,包括 get( 获 取 资 源 )、post( 附 加 新 数据 )、head( 获 取 响 应 报头 )、 
put( 存 储 资源 ) .delete( 删 除 资源 ) 等 ; version 为 HTTP 版 本 号 ,例如 get /Depts/cse. html 
HTTR/L; Ls 

思考 : HTTP 请 求 行 的 URL 中 为 何不 需要 域名 ? 

请 求 头 用 于 服务 器 需要 的 附加 信息 ; 请 求 体 可 为 所 需 的 任意 数据 。 两 者 均 可 由 多 行 字 
符 串 组 成 。 例 如 一 个 post 请 求 报 文 如 下 所 示 : 


post /login. jst HTTP/ 
Accept: image/gif, image/jpeg 
Accept - Language: zh— cn 
Host: www. fudan. edu. cn 
Content - Length: 21 
Connection: Keep— Alive 
Cache - Control: no ~ cache 


user = alice&pwd = 112233 


Web 服务 器 接收 到 请 求 报 文 后 ,将 返回 HTTP 响应 报 文 。 响 应 报 文 也 由 三 部 分 组 成 : 
状态 行 、 响 应 头 、 响 应 体 ( 响 应 体 前 插 空 行 ) 。 
状态 行 格式 为 


<version > < status - code> <reason - phrase> 
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其 中 : version 为 HTTP 版 本 号 ; status-code 为 响应 的 状态 代码 ; reason-phrase 为 状态 代 
码 的 文本 描述 。 例 如 : HTTP/1. 1 200 OK。 状 态 代 码 1xx 表示 请 求 已 接受 ,继续 处 理 ; 
3xx 表示 需要 进行 重 定向 。 其 他 常见 的 状态 代码 及 其 描述 有 : 

。 200 OK( 请 求 成 功 ) ; 

400 Bad Request( 请 求 有 语法 错误 ,无 法 理解 ) ; 
401 Unauthorized( 请 求 未 经 授权 ); 

。 403 Forbidden( 服 务 器 收 到 请 求 ,但 拒绝 提供 服务 ); 

。 404 Not Found( 请 求 的 资源 不 存在 ,例如 提供 了 错误 的 URL); 

。 503 Server Unavailable( 服 务 器 无 法 访问 )。 

若 HTTP 请 求 成 功 , 则 网 页 等 资源 将 在 响应 报 文 的 响应 体 ( 实 体 ) 中 传送 。 请 求 和 响应 
报 文 都 可 以 传送 实体 。 一 个 实体 由 实体 报头 域 和 实体 正文 组 成 ,但 并 不 一 定 要 一 起 发 送 , 可 
以 只 发 送 实 体 报 头 域 。 实 体 报头 定义 了 关于 实体 正文 (如 是 否 有 实体 正文 ) 和 资源 的 元 信 
息 。 例 如 Expires 指明 过 期 日 期 和 时 间 ,让 代理 服务 器 或 浏览 器 按时 更 新 缓存 。 

从 HTTP 的 角度 看 , Web 浏览 器 和 服务 器 之 间 为 非 对 称 的 客户 机 /服务 器 (client/ 
server,C/S) 结 构 , 但 Web 信息 访问 的 技术 为 信息 系统 的 构造 提供 了 不 同 于 传统 CVS 方式 
的 新 思路 .新 架构 , 即 浏览 器 /服务 器 (browser/server,B/S) 方 式 。 如 图 3. 25 所 示 , 对 任意 
应 用 系统 ,用 户 只 需 使 用 浏览 器 ,通过 Web 服务 器 的 代理 来 访问 应 用 程序 ,形成 三 层 架 构 
(3-tier) ,在 用 户 操作 便捷 性 和 友好 性 ,程序 运 行 高 效 性 .多 系统 集成 .软件 维护 和 升级 、 网 络 
及 数据 安全 等 方面 具有 明显 优势 。 


四 Internet/Intranet —|@ 


二 二 | 
用 户 计算 机 服务 器 (组 ) 
一 -一 -一 传递 “原始 "数据 _____ 
CNS 口 
应 用 程序 应 用 程序 ”数据 库 
(客户 端 ) (服务 端 ) 
Web 浏 览 器 Web 服 务 器 ”应 用 程序 。 数据 库 


(或 进程 ) “(服务 端 ) 
图 3.25 C/S 与 B/S 方式 简要 比较 


思考 : 比较 C/S 和 B/S 方式 的 异同 点 ,举例 说 明 分 别 适合 哪些 应 用 。 
3.4 ”Internet 控制 和 管理 协议 


3.4.1 ARP 
一 个 典型 的 IP 内 部 网 络 是 由 计算 机 (包括 PC 和 服务 器 ) 、 接 入 Internet 的 路 由 器 所 构 
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成 的 LAN ,在 最 常见 的 联网 方式 下 ,计算 机 和 路 由 器 采用 Ethernet 集线器 或 二 层 交 换 机 互 
连 , 位 于 同一 个 子 网 (网 络 号 相同 )。 

假定 计算 机 和 路 由 器 都 已 配置 了 内 网 IP 地 址 ,然而 ,Ethernet 集线器 或 二 层 交 换 机 无 
法 识别 IP, 那 么 ,设备 如 何 将 报 文 发 送 给 接收 方 ? 

Ethernet 网 络 采 用 MAC 地 址 (俗称 硬件 地 址 ) 进 行 数据 转发 ,所 以 ,如果 能 够 建立 计算 
机 IP 地 址 与 MAC 地址 的 关联 ,那么 根据 IP 地 址 就 可 以 查找 到 对 方 的 MAC 地 址 ,然后 通 
过 Ethernet 网 络 送 达 目的 设备 。 这 一 机 制 就 是 IP-MAC 地 址 映射 表 , 包 含 一 系列 {IP 地 址 ; 
MAC 地 址 } 记 录 。 计 算 机 和 路 由 器 都 应 该 缓存 本 子 网 所 有 结 点 的 地 址 映射 ,发送 IP 报 文 时 
即 可 随时 检索 。 

可 是 , 当 有 新 成 员 加 入 网 络 时 ,其 他 成 员 并 不 了 解 其 MAC 地 址 ,新 成 员 也 没有 其 他 成 
员 的 MAC 地 址 。 为 了 建立 或 更 新 IP-MAC 地 址 映射 关系 ,就 需要 使 用 地 址 解析 协议 
(Address Resolution Protocol,ARP)。ARP 是 Internet 网 络 层 的 一 个 子 层 ,在 REFC 826 标 
准 中 定义 ,用 于 辅助 IP 工作 。IPv6 中 已 不 使 用 ARP, 而 以 ICMPv6 的 相应 功能 取代 。 

在 IP over Ethernet 情况 下 ,ARP 的 报 文 数据 结构 如 下 : 


{ 


Short arp_hrd; /x 16b 硬件 类 型 ,Ethernet* / 

Short arp_pro; /x 16b 协 议 类 型 ,IP 协 议 * / 

char arp_hln; /* 8b 硬 件 地 址 长 度 , = 6Bx* / 

char arp_pln; /x 8b 协 议 地 址 长 度 , = 4B* / 

short arp_op; /x* 16b ARP 操作 类 型 ,请 求 或 响应 * / 

Char arp_sha[ 6]; /x*8X6b 发 送 者 的 硬件 地 址 , 源 MAC 地 址 */ 
long arp_spa; /* 32b 发 送 者 的 协议 地 址 , 源 划 地 址 */ 
char arp_tha[6]; /*8x6b 目标 的 硬件 地 址 , 目的 MAC 地 址 */ 
long arp_tpa; /x* 32b 目 标的 协议 地 址 ,目的 也 地 址 */ 


} 


ARP 协议 报 文 直接 作为 Ethernet 网 络 的 MAC 帧 数据 ,MAC 帧 的 协议 字段 (16b) 指 示 
承载 数据 为 ARP。ARP 请 求 报 文中 未 知 的 目标 硬件 地 址 字段 不 必 赋 值 。 

ARP 的 工作 流程 如 下 。 

(1) 发 送 方 计算 机 优先 检索 地 址 映射 表 , 若 找到 与 IP 报 文 目的 地 址 相同 的 IP 地 址 , 则 
使 用 该 记录 中 的 MAC 地 址 进行 发 送 。 

(2) 若 映射 表 中 检索 不 到 该 目的 地 址 6, ARP 将 在 Ethernet 上 广播 发 送 查 询 报 文 , 报 文 
的 意思 是 “我 的 IP 地址 为 ,MAC 地 址 是 8, 请 问 IP 地 址 8 的 MAC 地 址 是 什么 ?” 

(3) 目的 方 计算 机 收 到 ARP 查询 报 文 后 ,立即 向 发 送 方 回复 响应 报 文 ( 单 播 方式 ) , 报 
告 自己 的 IP-MAC 地 址 映射 (顺便 把 询问 方 的 地 址 映射 记录 下 来 )。 其 他 计算 机 不 作 响 应 。 

(4) 询问 方 收 到 该 响应 报 文 后 , 即 可 更 新 地 址 映射 表 , 返 回 步 又 (1)。 

(5) 若 在 规定 时 间 内 得 不 到 响应 ,可 能 是 因为 IP 地 址 不 正确 ,或 目标 设备 不 在 线 , 或 网 
络 故障 ,或 征询 报 文 丢失 ,结果 都 将 导致 ARP 查询 失败 。 若 尝试 多 次 仍然 失败 , 则 终止 IP 
报 文 发 送 。 

每 条 映射 记录 可 附加 TTL( 生 存 时 间 , 可 为 15 一 20 分 钟 ) ,超时 后 记录 失效 ,有 利于 减 
小 映射 表 长 度 ,提高 检索 效率 ,并 有 利于 适应 计算 机 更 换 的 情况 (例如 IP 地 址 用 于 新 计 
算 机 )。 


nt 
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如 果 IP 报 文 的 目的 地 址 不 属于 本 子 网 (网 络 号 不 同 ), 则 须 通过 路 由 器 进行 转发 。 路 由 
器 的 内 网 IP 地 址 事先 已 经 在 计算 机 上 配置 好 ,但 路 由 器 Ethernet 端口 的 MAC 地 址 仍然 需 
要 通过 ARP 获得 。 需 要 特别 注意 的 是 ,对 于 这 些 IP 报 文 , 并 非 根据 其 目的 IP 地 址 来 检索 
地 址 映射 表 , 而 是 使 用 路 由 器 的 IP 地 址 来 检索 ,然后 使 用 路 由 器 的 MAC 地 址 来 封装 和 发 
送 IP 报 文 。 

此 外 ,早期 的 某 些 计算 机 设备 (如 无 盘 工 作 站 ) 初 始 情况 下 没有 (无 法 ) 配 置 IP 地 址 , 则 
需 使 用 逆向 地 址 解析 协议 (Reversed ARP,RARP) ,发 送 RARP 广播 (包含 自己 的 MAC 地 
址 ), 从 RARP 服务 器 的 响应 中 取得 IP 地 址 。RARP 如 今 已 无 应 用 场合 。 

ARP 易 被 网 络 攻击 者 利用 ,如 进行 ARP 欺骗 攻击 。 攻 击 计算 机 假冒 某 一 台 计算 机 的 
IP 地 址 频繁 进行 ARP 广播 ,使 其 他 计算 机 误 传 信息 给 攻击 者 ,或 假冒 路 由 器 的 IP 地 址 进 
行 ARP 广播 ,将 发 往 其 他 网 络 的 报 文 引 入 歧途 。 直 接 的 影响 是 计算 机 的 正常 通信 被 中 断 ， 
或 无 法 接 入 Internet; 间接 的 影响 是 由 于 报 文 发 送 受阻 ,计算 机 会 反复 发 送 ARP 探 询 ,导致 
网 络 中 充斥 广播 报 文 ,计算 机 也 忙于 更 新 地 址 映射 表 , 占 用 了 大 量 带宽 和 计算 资源 。 


3.4.2 DHCP 


动态 主机 配置 协议 (Dynamic Host Configuration Protocol,DHCP ) 为 网 络 互 连 服 务 , 却 
是 一 个 应 用 层 协议 ,1993 年 10 月 定义 为 RFC 2131/2132 标准 。 基 于 IPv6 的 标准 DHCPv6 
在 RFC 3315 定义 。DHCP 工作 在 UDP 上 (端口 号 服务 端 67、 客 户 端 68) ,主要 用 途 是 为 接 
入 网 络 的 计算 机 自动 分 配 IP 地 址 、 子 网 掩 码 、 网 关 ( 路 由 器 )IP 地 址 和 DNS 服务 器 地 址 
( 主 , 辅 ) ,避免 用 户 手工 配置 的 烦琐 ,也 有 利于 IP 地 址 的 合理 利用 ,防止 IP 地 址 冲突 等 问 
题 ,并 可 协助 进行 网 络 管理 (如 ISP 对 上 网 终端 的 管理 ) 。 

DHCP 采用 C/S 模式 ,是 早期 BOOTP 的 扩展 。BOOTP 只 能 为 计算 机 分 配 预 置 的 静 
态 IP 地 址 ,而 DHCP 的 优势 在 于 动态 分 配 。DHCP 的 报 文 结构 如 图 3. 26 所 示 。 
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0 7 15 23 
1 请 求 及 啊 应 | 报 文 类 型 | 地址 长 度 (6)| ” 赋 数 
报 文 编号 (1D 号 ) 请 求 和 响应 报 文 应 一 致 
客户 端 启动 时 间 / 秘 By 标志 ( 仅 B 比 特有 效 ) | 8=1 : 广播 式 响应 
客户 端 想 继续 使 用 之 前 取得 的 IP 地 址 初始 置 0 
响应 报 文中 分 配给 客户 端的 下地 址 
无 盘 工 作 站 启动 代码 所 在 服务 器 的 中 地 址 二 呈 义 
路 WODHCP 代 理 的 由 地 址 在 本 子 网 时 置 0 
客户 端 硬件 地 址 (16B) MAC 地 址 
服务 器 名 称 字符 串 (64B) 以 0x0 结 束 
无 盘 工 作 站 启动 程序 文件 路 径 (64B) 以 后 用 TFTP 下 载 
扩展 选项 (可 选 ) 如 租约 内 容 


图 3.26 DHCP 报 文 格式 


DHCP 报 文 分 为 客户 端 发 送 的 请 求 报 文 和 服务 器 发 送 的 响应 报 文 ,共有 7 种 报 文 类 
型 ,各 自 的 功能 结合 如 下 的 DHCP 的 四 步 工 作 流 程 具体 阐述 。 
(1) 请 求 租 约 。 当 计算 机 首次 连接 网 络 的 时 候 , 广 播 DHCP DISCOVER 报 文 , 源 IP 
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地 址 设 为 0.0.0.0, 目 的 IP 地 址 设 为 255.255.255. 255。 报 文 的 四 次 等 待 时 间 可 预 设 为 
1/9/13/16 秒 。 

(2) 提供 租约 。 服 务 器 从 尚未 租 出 的 地 址 范围 内 ,选择 最 前 面 的 空闲 IP 地 址 ,连同 其 
他 设 定 和 租约 期 限 , 向 客户 端 发 送 DHCP OFFER 响应 , 报 文 编号 与 DISCOVER 相同 , 源 
IP 地 址 为 服务 器 地 址 ,目的 IP 地 址 为 255. 255. 255. 255。IP 地 址 等 设 定 值 位 于 报 文 的 扩 
展 选 项 字段 ,包括 子 网 掩 码 、 网 关 地 址 .DNS 地 址 、 租 约 期 限 等 ,分 别 采 用 一 type 二 一 len 二 
二 value 放 的 编码 结构 。 如 果 客 户 端 要 求 的 IP 地 址 已 经 失效 或 已 经 被 其 他 设备 占用 ,服务 
器 响应 一 个 DHCP NACK ,要 求 其 重新 执行 DHCP DISCOVER 。 

(3) 选择 租约 。 如 果 客 户 端 收 到 多 台 DHCP 服务 器 的 响应 , 则 须 选择 其 中 一 个 DHCP 
OFFER( 通 常 是 最 先 抵 达 的 那个 ) ,并 广播 DHCP REQUEST 报 文 ,以 告知 所 有 DHCP 服 
务 器 。 同 时 ,客户 端 采 用 ARP 查询 该 IP 地 址 是 否 已 被 占用 ,如 果 已 被 占用 , 则 发 送 DHCP 
DECLIENT 给 服务 器 ,拒绝 接受 DHCP OFFER ,并 重新 发 送 DHCP DISCOVER。 

(4) 确认 租约 。 当 DHCP 服务 器 接收 到 DHCP REQUEST 后 ,向 客户 端 发 出 DHCP 
ACK 响应 ,确认 IP 地 址 租约 正式 生效 。 若 客户 端 想 退 租 , 可 以 随时 发 送 DHCP RELEASE 
命令 解约 。 

如 果 DHCP 租约 超过 一 定时 间 ( 如 过 半 ) ,客户 端 可 发 送 DHCP REQUEST, 以 保持 与 
服务 器 的 联系 ; 假如 租约 快 到 期 时 得 不 到 服务 器 响应 ,客户 端 将 尝试 联络 其 他 DHCP 服 
务 器 。 

如 果 DHCP 服务 器 位 于 其 他 网 络 ( 网 段 ) ,由 于 客户 端 尚 未 设 定 IP 参数 ,不 知道 路 由 器 
地 址 ,大 多 数 路 由 器 也 不 会 转发 DHCP 广播 报 文 ,因此 ,需要 采用 DHCP 代理 (DHCP 
Agent/Proxy) ,将 请 求 传递 给 DHCP 服务 器 ,并 将 服务 器 响应 转发 给 客户 端 。 


3.4.3 ICMP 


Internet 控制 消息 协议 (Internet Control Message Protocol,ICMP) 是 TCP/IP 的 核心 
协议 之 一 ,用 于 发 送 控制 消息 ,获取 可 能 发 生 在 通信 环境 中 的 各 种 问题 的 反馈 信息 , 令 管理 
者 可 以 对 问题 做 出 诊断 。 

0 7 15 ICMP 是 网 络 层 的 子 层 协议 ,使 用 IP 封装 (协议 字段 值 为 
3 1) ,在 RFC 792 标准 中 定义 。ICMP 报 文 结构 如 图 3. 27 所 示 。 

ICMP 报 文 类 型 较 多 ,常用 的 有 : 类 型 8/0 回 显 请 求 和 响 
应 ; 类 型 3 目标 不 可 达 ( 原 因 码 有 0/1/2/3 目标 网 络 /主机 / 协 
议 / 端 口 不 可 达 等 ); 类 型 11 超时 (原因 码 0 为 TTL 超时 ,原因 
码 1 为 分 片 组 装 超时 ); 类 型 13/14 时 间 鹤 请 求 /响应 ; 类 型 

图 3.27 ICMP 报 文 格式 ”17/18 网 络 掩 码 请 求 /响应 ; 类 型 30 路 由 跟踪 请 求 ; 等 等 。 

网 络 诊断 中 有 两 个 常用 的 软件 工具 : traceroute 发 送 包 含有 特殊 TTL 的 ICMP 路 由 跟 
踪 报 文 ,根据 接收 到 的 超时 消息 和 目标 不 可 达 消 息 来 实现 ,可 查看 从 源 到 目的 的 各 级 路 由 器 
信息 ; ping 则 通过 ICMP 回 显 报 文 (请 求 和 响应 ) 来 实现 ,可 选择 发 送 各 种 长 度 的 数据 (位 于 
报 文 数据 字段 ) ,目的 方 接收 到 报 文 后 ,将 数据 原封 不 动 地 在 响应 报 文中 返回 , 称 为 一 次 回 显 
Cecho) 。 根 据 多 次 回 显 信息 可 以 判断 : 目标 的 域名 和 地 址 是 否 正 确 、 目 标 是 否 可 达 、 目 的 计 
算 机 是 否 在 运行 . 报 文 来 回 时 间 多 少 以 及 是 否 稳定 、 信 和 道 质量 如 何 (是 否 丢 失 报 文 ) 等 。 
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ECHO 是 希腊 神话 中 森林 女神 的 名 字 , 因 触犯 了 赫 拉 ,被 诅 响 只 能 重复 她 听 到 的 话 。 
从 此 ,人 们 在 山谷 里 呼唤 ,就 会 听 到 远 远 传 来 的 ECHO 的 重复 声 。 


3.4.4 IGMP 


当 一 台 主 机 需要 发 送 相同 信息 (如 视频 会 议 画 面 ) 给 一 组 ( 设 为 N 台 ) 目 的 计算 机 ,车 采 
用 单 播 的 方式 , 则 每 个 报 文 都 需要 发 送 N 次 ,发 送 方 和 网 络 都 要 承受 较 大 压力 , 若 采 用 广播 
方式 , 则 会 影响 其 他 非 接收 方 计算 机 ,而 且 跨 子 网 (或 自治 域 ) 时 并 不 支持 广播 。 

比较 图 3. 28 可 以 看 出 , 若 采用 组 播 (Multicast) 方 法 (有 些 文献 称 为 多 播 ), 可 以 将 网 络 
流量 压缩 到 最 低 程度 ,显著 减少 网 络 资源 消耗 ,提高 网 络 利 用 率 , 而 且 , 一 组 组 播 流 便于 采用 
一 个 服务 质量 (QoS) 策 略 进行 控制 。 因 此 IGMP 属于 一 种 重要 的 子 网 带宽 管理 (Subnet 
Bandwidth Management ,SBM) 方 法 。 
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(a) 单 播 方式 发 送 (b) 组 播 方式 发 送 
图 3.28 组 播 和 单 播 方式 流量 比较 


组 播 采用 IP 地 址 空间 中 的 D 类 地 址 ,前 缀 为 1110, 地 址 范围 为 224. 0. 0. 0 一 239. 255. 
255.255。 每 个 D 类 地 址 都 可 标识 一 组 主机 (而 非 单 播 地 址 仅 标识 一 台 主 机 ), 即 最 多 有 2” 
个 主机 组 (Host Group) 或 称 组 播 组 。 如 果 向 一 个 D 类 地 址 发 送 一 个 数据 报 文 , 就 相当 于 向 
这 个 组 播 组 中 的 所 有 主机 发 送 同样 的 报 文 。 可 见 ,组 播 地 址 只 能 用 于 目的 地 址 ,不 能 用 于 源 
地 址 ,并 且 IP 报 文 仍然 采用 尽力 而 为 的 交付 方式 ,不 保证 交付 的 可 靠 性 。 

其 中 有 一 些 D 类 组 播 地 址 已 经 被 IANA 指定 为 永久 组 地 址 ,具有 网 络 操作 上 的 特殊 含 
义 或 限定 。 

(1) 224.0.0.0: 基地 址 (保留 ) 。 

(2) 224.0.0.1: 在 本 子 网 上 的 所 有 参加 组 播 的 主机 和 路 由 器 。 

(3) 224.0.0.2: 在 本 子 网 上 的 所 有 参加 组 播 的 路 由 器 。 

(4) 224. 0. 0. 3,224. 0. 0. 19 一 224. 0. 0. 225: 未 指定 。 

(5) 224. 192. 0.0~239. 251. 255. 255: 限制 在 一 个 组 织 的 范围 内 。 

(6) 239. 252. 0.0~239. 255. 255. 255: 限制 在 一 个 地 点 的 范围 内 。 

特别 地 ,在 Ethernet 上 ,可 利用 Ethernet 的 MAC 地 址 进行 组 播 操 作 , 因 此 ,就 需要 将 
IP 组 播 地 址 与 MAC 组 播 地 址 进行 对 应 转换 (如 图 3. 29 所 示 )。 由 于 IANA 拥有 的 MAC 
组 播 地 址 范围 为 00-00-5E 为 前 级 的 一 半 地 址 空间 ,加 上 MAC 组 播 地 址 的 规定 (第 一 
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最 低位 为 1), 即 组 播 地 址 范围 从 01-00-5E-00-00-00 到 01-00-5E-7F-FF-FF, 所 以 MAC 组 
播 地 址 中 仅 有 23b 可 与 IP 组 播 地 址 的 28b 对 应 ,有 5b 无 法 复制 ,这 样 ,不 可 避免 地 会 出 
现 多 个 IP 组 播 地 址 对 应 到 同一 个 MAC 组 播 地 址 上 ,需要 接收 方 主机 对 报 文 进行 软件 


D 类 IP 地 址 [中 10 lal Ee ee 
1 十 低 23b 复制 到 MAC 地 址 中 上 1 
po 


| 0 0 | 到 
oolololololofilofolofololololol ol olla 


1 表示 组 播 的 第 一 字 节 最 低位 为 1 
48b 以 太 网 MAC 地 址 


图 3.29 IP 和 MAC 的 组 播 地 址 映射 关系 


组 播 组 中 的 成 员 ( 主 机 ) 是 动态 的 。 一 个 主机 可 以 按照 一 定 方式 加 入 某 个 组 播 组 。 加 入 
后 ,主机 就 向 组 播 地 址 ( 即 面向 所 有 成 员 ) 发 送 报 文 , 声 明 其 组 员 关 系 。 组 播 路 由 器 收 到 此 声 
明 后 ,进一步 通知 其 他 组 播 路 由 器 。 组 播 组 的 大 小 没有 明确 限制 ,可 以 达到 成 千 上 万 个 ,但 
是 很 明显 ,维护 组 播 组 需要 较 大 的 开销 ,而 且 所 有 接收 主机 所 在 的 转发 路 径 上 的 路 由 器 都 应 
支持 组 播 功 能 ,才能 真正 达到 组 播 的 目的 。 

互联 网 组 管理 协议 (Internet Group Management Protocol, IGMP) 就 是 实现 Internet 
组 播 管理 的 技术 , 现 使 用 版 本 2(RFC 2236)。IGMP 协助 路 由 器 识别 加 入 到 一 个 组 播 组 的 
成 员 主 机 。 

IGMP 使 用 IP 传递 报 文 (协议 字段 值 为 2)， 0 8 16 31 
同时 反 过 来 为 IP 提供 服务 ,因此 IGMP 应 作为 网 类 型 “| 响应 时 间 校 验 字 
络 层 的 一 个 子 层 来 看 待 。 

IGMP 的 报 文 格式 如 图 3. 30 所 示 。 

长 度 为 8B 的 IGMP 报 文 分 为 4 个 字段 。 

(1) 类 型 字段 ,指出 IGMP 报 文 的 类 型 (如 
表 3.8 所 示 ), 有 一 种 IGMPvl 报 文 和 三 种 
IGMPv2 报 文 。 

(2) 响应 时 间 字 段 ,以 1/10s(100ms) 为 单位 ,默认 值 为 10s。 

(3) 校 验 字 字 段 ,对 整个 IGMP 报 文 进行 校 验 , 校 验算 法 与 IP 报 文 相同 。 

表 3.8 IGMP 报 文 类 型 


组 地 址 
所 有 的 组 询问 时 为 全 零 ) 


a 


图 3.30 IGMP 报 文 格式 


类 型 组 地 址 报 文 含义 版 本 
Baa 全 0 一 般 的 成 员 关 系 询问 v2 

指定 特定 的 成 员 关系 询问 v2 
Ox16 指定 成 员 关系 报告 v2 
0xl7 指定 离开 组 v2 
Oxl2 指定 成 员 关系 报告 Ml 
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(4) 组 地 址 字段 ,在 对 所 有 的 组 发 出 询问 时 填充 全 零 ,对 特定 的 组 询问 时 填 入 该 组 的 组 
地 址 ,主机 发 送 成 员 关 系 报告 时 填写 自己 的 组 地 址 。 

显然 ,IGMP 的 执行 离 不 开 IP 的 配合 。 不 仅 因为 IGMP 需要 IP 的 传输 ,更 重要 的 是 ， 
当 一 个 主机 用 IGMP 报告 成 员 关系 (或 离开 组 ) 时 ,其 他 主机 和 路 由 器 将 依据 携带 该 IGMP 
报 文 的 IP 报 文 中 的 IP 源 地 址 来 确定 谁 在 报告 加 入 组 (或 离开 组 )。 

路 由 器 通过 IGMP 获知 每 个 组 播 组 中 的 成 员 主 机 。 如 果 一 些 主机 在 路 由 器 直接 互 连 
的 子 网 内 ,路 由 器 将 把 接收 到 的 组 播报 文 复制 后 依次 传送 给 这 些 主机 (或 通过 以 太 网 组 播 进 
行 发 送 ); 如 果 还 有 参与 组 播 的 主机 不 在 直接 互 连 的 子 网 内 , 则 根据 路 由 信息 ,把 组 播报 文 
复制 后 传送 给 相关 的 路 由 器 (可 能 分 布 在 多 个 路 由 器 上 )。 

然而 ,确定 和 维护 组 播 路 由 是 相当 复杂 的 ,包括 可 能 需要 穿越 没有 任何 组 成 员 的 网 络 或 
不 支持 组 播 的 网 络 ( 需 采用 隧道 技术 )。 一 旦 一 个 组 成 员 加 入 或 离开 ,都 可 能 导致 组 播 路 由 
发 生 较 大 变化 ,并 且 需 要 相当 的 资源 开销 来 通知 和 实现 这 一 变化 。 

Internet 上 采用 的 典型 组 播 路 由 选择 协议 是 距离 向 量 组 播 路 由 选择 协议 (Distance 
Vector Multicast Routing Protocol,DVMRP) ,由 RFC 1075 定义 。 同 类 协议 还 有 : 核心 基 
干 树 (Core Based Tree,CBT) ,REFC 2189/2201; OSPF 组 播 扩 展 (Multicast Extensions to 
OSPF,MOSPF), RFC 1548; 协议 无 关 组 播 - 稀 疏 /密集 方式 (Protocol Independent 
Multicast-Sparse/Dense Mode,PIM-SM/DM) ,RFC 2362 等 。 

思考 : 分 析 各 个 成 员 在 网 络 上 不 同 的 分 布 情况 下 对 组 播 技 术 执 行 效能 的 影响 。 试 用 组 
播 协 议 设 计 或 改进 一 个 群 聊 系 统 。 


3.4.5 SNMP 


网 络 通信 系统 是 个 复杂 的 综合 体 ,包括 智能 、 非 智能 的 网 络 设备 、 通 信和 媒介 、 各 类 计算 
机 、 外 设 、 固 件 (firmware)、 系 统 软 件 、 应 用 程序 等 。 尤 其 是 一 些 大 型 的 信息 系统 ,覆盖 范围 
广 ,维护 和 管理 依赖 人 力 必 然 难以 胜任 。 因 此 ,网 络 管理 (Network Management) 和 系统 管 
理 (System Management) 成 为 网 络 和 信息 系统 不 可 或 缺 的 组 成 部 分 ,也 是 安全 保障 的 工具 
之 一 。 
网 络 管理 和 系统 管理 在 管理 对 象 上 略 有 差异 ,系统 管理 的 范围 稍 宽 , 除 了 网 络 管理 应 承 
担 的 职能 外 ,还 包含 外 设 资源 文件 资源 .应 用 (软件 资源、 数据 资源 等 方面 ,但 两 者 在 主要 
目的 和 技术 原理 ,方法 上 是 一 致 的 。 
网 络 管理 可 以 保障 系统 稳定 .安全 ,高 效 地 运行 ; 可 提供 集中 式 的 全面 的 监测 
(survey) 和 控制 (control) 手 段 ,有 利于 对 整个 系统 进行 有 效 的 管理 和 维护 ; 可 及 时 ,准确 地 
发 现 系统 故障 、 定 位 故障 点 ,并 提醒 管理 人 员 尽 快 修复 ; 可 通过 对 系统 运行 数据 的 采集 和 分 
析 , 为 系统 优化 和 改进 提供 依据 。 

网 络 管理 通过 网 络 管理 系统 来 实现 。 如 图 3. 31 所 示 ,网 络 管理 系统 一 般 由 相互 关联 的 
4 个 方面 组 成 。 

(1) 管理 者 (Network Manager) ,或 称 管理 中 心 .是 网 络 管理 的 主体 。 

(2) 被 管理 者 或 称 管理 对 象 (Managed Object) ,是 网 络 系统 中 所 有 软件 和 硬件 设备 的 
集合 ,通过 管理 代理 (Managed Agent) 与 管理 者 通信 。 

(3) 管理 方法 ,是 实施 网 络 管理 的 技术 方案 .系统 结构 ,核心 是 管理 协议 和 管理 信息 库 
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管理 对 象 
(被 管理 者 ) 


图 3.31 网 络 管理 体系 结构 概念 


(Management Information Base,MIB) 。 

(4) 管理 渠道 ,是 管理 者 和 管理 对 象 间 交 换 数据 的 载体 。 

网 络 管理 系统 与 其 管理 的 网 络 系统 有 着 密 不 可 分 的 联系 。 网 络 管理 系统 一 般 运行 在 网 
络 系统 之 上 ( 带 内 通信 方式 ) ,一 定 程 度 上 依赖 网 络 系统 提供 互 连 服务 ; 网 络 管理 系统 也 需 
要 网 络 系统 提供 管理 所 需 的 运行 数据 ; 同时 ,网 络 管理 系统 又 是 网 络 系统 的 监管 者 ,是 管理 
者 和 被 管理 者 的 关系 。 因 此 ,处 理 好 网 络 管理 系统 和 网 络 系统 之 间 的 关系 显得 至 关 重 要 。 

ISO 建议 网 络 管理 应 包含 以 下 5 个 基本 功能 域 : 故障 管理 ,配置 管理 .性 能 管理 .安全 
管理 和 计 费 管理 。 

(1) 故障 管理 (Fault Management) 。 故 障 管理 是 网 络 管理 中 最 基本 的 功能 之 一 。 当 网 
络 发 生 故 障 时 : 四 必须 尽 可 能 迅速 地 找 出 故障 发 生 的 确切 位 置 ; 加 将 网 络 其 他 部 分 与 故障 
部 分 隔离 ,以 确保 网 络 其 他 部 分 能 不 受 干扰 继续 运行 ; @@ 重 新 配置 或 重组 网 络 , 尽 可 能 降低 
由 于 隔离 故障 后 对 网 络 带 来 的 影响 ; @ 修 复 或 替换 故障 部 分 ,将 网 络 恢复 为 初始 状态 。 对 
网 络 组 成 的 部 件 状态 的 监测 是 网 络 故障 检测 的 依据 。 不 严重 的 简单 故障 或 偶然 出 现 的 错误 
通常 被 记录 在 错误 日 志 中 ,事后 做 出 处 理 ; 而 严重 一 些 的 故障 则 需要 通知 网 络 管理 器 , 即 发 
出 报警 。 因 此 网 络 管理 器 必须 具备 快速 和 可 靠 故障 监测 ,诊断 和 恢复 功能 。 

(2) 配置 管理 (Configuration Management) 。 配 置 管理 也 是 网 络 管理 的 基本 功能 。 计 
算 机 网 络 由 各 种 物理 结构 和 逻辑 结构 组 成 ,这 些 结构 中 有 许多 参数 .状态 等 信息 需要 设置 并 
协调 。 另 外 ,网 络 运行 在 多 变 的 环境 中 ,系统 本 身 也 经 常 要 随 着 用 户 的 增 、 减 或 设备 的 维修 
而 调整 配置 。 网 络 管理 系统 必须 具有 足够 的 手段 支持 这 些 调整 的 变化 ,使 网 络 更 有 效 地 工 
作 。 这 些 手 段 构成 了 网 络 管理 的 配置 管理 功能 。 配 置 管理 功能 至 少 应 包括 识别 被 管理 网 络 
的 拓扑 结构 .标识 网 络 中 的 各 种 事件 .自动 修改 指定 设备 的 配置 .动态 维护 网 络 配置 数据 库 
等 内 容 。 

(3) 性 能 管理 (Performance Management) 。 性 能 管理 的 目的 是 在 使 用 最 少 的 网 络 资源 
和 具有 最 小 延迟 的 前 提 下 ,确保 网 络 能 提供 可 靠 .连接 的 通信 能 力 ,并 使 网 络 资源 的 使 用 达 
到 最 优化 的 程度 。 网 络 的 性 能 管理 有 监测 和 控制 两 大 功能 ,监测 能 实现 对 网 络 中 的 活动 进 
行 跟踪 ,控制 功能 实施 相应 的 调整 来 提高 网 络 性 能 。 人 性 能 管理 的 具体 内 容 包括 : 从 被 管 对 
象 中 搜集 与 网 络 性 能 有 关 的 数据 ,分 析 和 统计 历史 数据 ,建立 性 能 分 析 的 模型 ,预测 网 络 性 
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能 的 长 期 趋势 ,并 根据 分 析 和 预测 的 结果 ,对 网 络 拓 扑 结构 、 某 些 对 象 的 配置 和 参数 做 出 调 
整 ,逐步 达到 最 佳 运行 状态 。 如 果 需 要 做 出 调整 时 ,还 要 考虑 扩充 或 重建 网 络 。 

(4) 安全 管理 (Security Management)。 安 全 管理 的 目的 是 确保 网 络 资源 不 被 非法 使 
用 ,防止 网 络 资源 由 于 入 侵 者 攻击 而 遭受 破坏 。 其 主要 内 容 包括 : 与 安全 措施 有 关 的 信息 
分 发 (如 密 钥 的 分 发 和 访问 权限 设置 等 ) ,网 络 安全 通知 (如 网 络 有 非法 侵入 、 无 权 用 户 对 特 
定 信息 的 访问 企图 等 ) ,安全 服务 措施 的 创建 .控制 和 删除 ,与 安全 有 关 的 网 络 操作 事件 的 记 
录 ,维护 和 查询 日 志 管理 工作 等 。 一 个 完善 的 计算 机 网 络 管理 系统 必须 制定 网 络 管理 的 安 
全 策略 ,并 根据 这 一 策略 设计 实现 网 络 安全 管理 系统 。 

(5) 计 费 管理 (Accounting Management)。 在 商业 有 偿 使 用 的 网 络 上 , 计 费 管理 功能 表 
现 为 : 一 方面 ,统计 哪些 用 户 、 使 用 何 信道 .传输 多 少数 据 , 访 问 什么 资源 等 信息 ; 另 一 方 
面 , 计 费 管理 功能 还 可 以 统计 不 同 线路 和 各 类 资源 的 利用 情况 。 因 此 可 见 , 计 费 管理 的 根本 
依据 是 网 络 用 户 的 使 用 统计 信息 ,并 制定 一 种 用 户 可 接受 的 计 费 方法 。 商 业 性 网 络 中 的 计 
费 系统 还 要 包含 诸如 每 次 通信 的 开始 和 结束 时 间 .通信 中 使 用 的 服务 等 级 ,以 及 通信 中 的 另 
一 方 等 更 详细 的 计 费 信息 ,并 能 够 随时 查询 这 些 信 息 。 

一 个 具体 的 网 络 管理 系统 不 一 定 要 完全 包含 上 述 的 五 大 管理 功能 域 ,不 同 的 系统 可 以 
选取 其 中 的 几 个 功能 域 或 功能 域 中 的 部 分 功能 加 以 组 合 。 但 几乎 每 个 网 络 管理 系统 都 会 包 
括 故障 管理 功能 。 

如 图 3. 32 所 示 ,网 络 管理 系统 利用 管理 代理 不 断 采 集 网 络 运行 的 各 种 信息 ,存储 在 管 
理 代理 维护 的 本 地 MIB 中 。 当 网 络 管理 者 需要 时 ,管理 代理 将 交付 最 新 的 MIB 数据 。 管 
理 代理 时 刻 监听 来 自 网 络 管理 者 的 查询 或 命令 ,并 及 时 做 出 响应 。 命 令 都 由 网 络 管理 者 发 
出 ,get 命令 用 于 监视 , 即 获 取 数 据 ; set 命令 用 于 控制 , 即 设置 参数 。 还 有 一 类 报 文 trap, 是 
由 管理 代理 主动 发 起 ,用 于 故障 情况 的 告警 (alert) 。 


网 络 管理 中 心 
网 络 管理 工作 站 
管理 者 


图 3.32 网 络 管理 系统 结构 示意 


最 常用 的 网 络 管理 协议 有 两 个 : Internet 于 1988 年 提出 的 简单 网 络 管理 协议 (Simple 
Network Management Protocol, SNMP) 、ISO 提出 的 公共 管理 信息 服务 (Common 
Management Information Service, CMIS) 和 公共 管理 信息 协议 (Common Management 
Information Protocol, CMIP) 。 
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与 CMIS/CMIP (ISO 7498-4/ITU-T X. 700) 相 比 , SNMP (RFC 1155, RFC 1156// 
1157) 以 其 简易 性 与 可 扩展 性 的 优势 得 到 更 广泛 的 应 用 。SNMP 体现 了 网 络 管理 系统 的 一 
个 重要 准则 , 即 网 络 管理 功能 的 实现 不 能 影响 网 络 系统 的 正常 功能 ,不 给 网 络 附加 过 多 的 开 
销 。SNMP 还 由 RFC 1441 一 1452 定义 了 第 二 版 ,由 RFC 3411 一 3418 定义 了 第 三 版 。 

SNMP 是 一 种 基于 UDP 的 应 用 层 协 议 , 管 理工 作 站 根据 管理 需要 产生 三 种 类 型 的 
SNMP 消息 : get request( 类 型 0) ,get next request( 类 型 1) 和 set request( 类 型 3) ,代理 均 
以 get response( 类 型 2) 确 认 ,或 主动 发 送 trap( 类 型 4) 。 

SNMP 报 文 结构 如 图 3. 33 所 示 。 版 本 号 字段 为 SNMP 版 本 号 减 1( 目 前 最 高 为 v3, 则 
填 2); 共同 体 字 段 为 管理 者 与 代理 之 间 的 明文 口令 ,默认 为 6 个 字符 的 public; 请 求 标识 符 
字段 用 于 区 分 同时 进行 的 多 个 get 任务 ,在 get request 和 get response 中 应 一 致 ; 差错 状态 
字段 表明 变量 不 存在 等 情况 ,并 通过 差错 索引 字段 指出 变量 的 偏 移 值 ,0 表示 正常 ; trap 类 
型 字段 描述 代理 初始 化 ,接口 故障 与 恢复 等 状况 ; 企业 标识 字段 为 该 设备 的 生产 商 在 对 象 
命名 树 的 enterprises 结 点 的 子 树 上 的 编码 ; 特定 代码 字段 为 自 定义 事件 ,一 般 为 0; 时 间 礁 
字段 指明 代理 初始 化 到 trap 报告 事件 发 生 的 间隔 (以 10ms 为 单位 )。 


图 3.33 SNMP 报 文 格式 


SNMP 的 MIB 是 网 络 中 所 有 被 管 对 象 的 数据 集合 ,对 象 应 是 对 象 命名 树 (Object 
Naming Tree) 上 的 一 个 结 点 (如 图 3. 34 所 示 ) 。 例 如 ,Internet 对 象 为 1. 3. 6. 1,mib2 中 的 
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(0) auth (1) | | body(2) org(3) El 
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system interface at ip icemp tcp udp egp 
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图 3.34 MIB 对 象 命名 树 
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IP 对 象 为 1. 3. 6.1. 2. 1.4。 而 变量 则 是 特定 对 象 的 一 个 实例 。 例 如 ,ifNumber 为 网 络 接口 
数 ,ipInReceives 为 接收 到 的 IP 报 文 数 ,tcpMaxConn 为 允许 的 最 大 TCP 连接 数 等 。 变 量 
及 其 数值 采用 抽象 语法 记 法 ASN. 1 定义 。 

SNMP 采用 一 种 不 完全 的 轮 询 协 议 ,一 方面 通过 依次 探 询 各 个 代理 ,获取 网 络 管理 信 
息 , 另 一 方面 也 允许 未 经 询问 发 送 报告 (trap) 。 

网 络 管理 技术 不 断 在 完善 发 展 中 ,技术 更 先进 .部 署 更 灵活 、 功 能 更 丰富 、 管 理 更 细致 、 
适用 更 广泛 .操作 更 便捷 ,技术 标准 之 间 也 在 逐步 融合 ,如 CMOT(CMIP Over TCP/IP) 就 
同时 适用 于 TCP/IP 和 OSI 网 络 环境 。 
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4.1 Internet 路 由 原理 


IP 网 络 的 路 由 (routing) 由 路 由 器 (router) 完 成 。 路 由 器 也 称 网 关 
(gateway) ,主要 实现 两 个 方面 的 功能 : 

(1) 为 各 个 网 络 间 的 数据 交换 寻找 最 佳 路 径 ; 

(2) 为 给 定 的 IP 报 文 提供 到 指定 目的 地 的 转发 服务 。 

如 图 4. 1 所 示 , 设 一 台 计 算 机 ( 源 地 址 为 I Ps ) 发 送 IP 报 文 到 目的 地 址 
IPsw。 如 果 IP;. 和 IPas 在 同一 网 段 中 ,可 在 IP-MAC 地 址 映射 表 中 检索 到 ， 
则 通过 二 层 网 络 ( 如 Ethernet) 直 接送 达 ; 如 果 不 属于 同一 网 段 , 则 必须 交 由 
路 由 器 转发 。 路 由 器 根据 路 由 信息 ,把 IP 报 文 转发 给 下 一 个 网 关 , 直到 到 达 
目的 计算 机 所 在 的 子 网 。 


飞 多 级 路 由 器 转发 
1 一 ~ 路 由 转发 


Ethernet 


4.1 了 P 报 文 路 由 与 转发 示意 
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路 由 是 一 种 分 布 式 控制 技术 ,可 以 自动 实现 ,而 且 可 以 根据 网 络 拓扑 结构 的 变化 动态 调 
整 。 路 由 的 建立 需要 采用 特定 的 路 由 算法 ,通过 路 由 协议 的 执行 ,路 由 器 完成 相互 间 的 路 由 
信息 交换 ,最 终生 成 路 由 表 。 每 台 路 由 器 均 维 护 一 张 路 由 表 , 由 {目的 网 络 ( 主 机 ) 地 址 ; 
跳 数 ; 下 一 跳 地 址 } 格 式 的 记录 构成 。 报 文 转发 就 是 根据 目的 地 址 检索 路 由 表 , 然 后 发 送 
给 下 一 跳 (next hop) 地 址 指定 的 路 由 器 。 因 此 ,一 个 IP 报 文 并 没有 被 事先 安排 好 发 送 路 
径 , 而 是 由 途经 的 每 一 台 路 由 器 独立 决定 如 何 发 送 。 虽 然 如 此 ,IP 报 文 的 路 径 仍然 是 可 
预测 的 。 

路 由 算法 应 按照 特定 的 策略 (policy) 来 设计 。 如 图 4.2 一 图 4.4 所 示 , 在 相同 的 网 络 环 
境 下 ,如 果 分 别 选择 最 少 跳 数 .最短 距 离 .最 大 带宽 的 策略 ,得 到 的 路 径 各 不 相同 。 此 外 ,还 
可 以 采用 一 些 辅助 策略 ,例如 在 线路 拥塞 .故障 状态 下 , 改 由 后 备 路 径 转 发 ,以 避免 拥塞 的 加 
剧 或 无 法 及 时 转发 报 文 。 


3km 
10Mb/s 


3km 2km 
10Mb/s 10Mb/s 


图 4.4 最 大 带宽 路 由 选择 策略 
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路 由 策略 可 由 自治 系统 (Autonomous System,AS) 自行 决定 。 自 治 系统 是 指 由 一 个 实 
体 管理 的 IP 网 络 , 有 相对 独立 性 ,其 内 部 采用 同一 种 路 由 算法 、 同 一 个 AS 编号 ,并 与 其 他 
AS 互 连 。 有 些 路 由 算法 和 协议 适合 用 户 网 络 接 入 AS, 有 些 路 由 算法 和 协议 用 于 AS 内 部 ， 
还 有 些 路 由 算法 和 协议 适用 于 AS 之 间 的 互 连 ,最 终 构 成 完整 的 Internet 路 由 体系 。 

思考 : 路 由 和 交换 有 何 共同 点 和 不 同 点 ? 


4.2 Internet 路 由 协议 概述 


路 由 算法 是 路 由 协议 的 灵魂 。 一 个 好 的 路 由 算法 可 以 快速 建立 和 更 新 路 由 信息 ,并 对 
各 种 网 络 故 障 或 改变 做 出 快速 响应 。 因 此 ,路 由 算法 的 设计 需要 综合 考虑 以 下 性 能 目标 。 

(1) 完整 性 : 到 达 任 一 结 点 的 报 文 ,都 能 根据 路 由 信息 进行 转发 ,最 终 到 达 报 文 指定 的 
目的 地 。 

(2) 最 优 性 : 路 由 算法 具有 根据 既定 策略 选择 最 佳 路 径 的 能 力 。 

(3) 简洁 性 : 算法 设计 简洁 ,用 最 少 的 软件 开销 ,提供 最 有 效 的 功能 ,并 且 尽 可 能 降低 
时 延 。 

(4) 坚固 性 : 路 由 算法 处 于 非 正常 或 不 可 预料 的 环境 时 ,如 硬件 故障 、 负 和 载 过 高 或 操作 
失误 , 仍 能 保持 正确 运行 。 由 于 网 关 分 布 在 网 络 连 接点 上 ,因此 路 由 故障 的 后 果 很 严重 。 路 
由 算法 应 能 经 受 时 间 的 考验 ,在 各 种 网 络 环境 下 被 证 实 是 可 靠 的 。 

(5) 收敛 性 : 收敛 是 在 最 佳 路 径 的 判断 上 所 有 网 关 达 到 一 致 的 过 程 。 当 某 个 网 络 事件 
引起 路 由 可 用 或 不 可 用 时 ,相关 网 关 就 发 出 更 新 信息 。 路 由 更 新 信息 传 遍 整个 自治 域 网 络 ， 
引发 重新 计算 最 佳 路 径 , 最 终 达 到 一 致 公认 的 最 佳 路 径 。 收 敛 慢 的 路 由 算法 可 能 造成 暂时 
的 路 径 循环 ,或 导致 网 络 中 断 。 

(6) 灵活 性 : 路 由 算法 可 以 快速 ,准确 地 适应 各 种 网 络 环境 。 例 如 ,一 条 线路 发 生 故 
障 ,路 由 算法 应 能 很 快 发 现 故 障 ,并 选择 另 一 条 最 佳 路 径 。 但 算法 结果 应 保持 稳定 ,不 能 频 

路 由 算法 可 依据 的 度量 (metric) 有 链 路 长 度 .带宽 ,吞吐 量 . 保 密 要 求 、 传 播 时 延 、 某 时 
段 内 的 通信 流量 缓存 被 占用 的 程度 、 链 路 差错 率 等 。 

路 由 算法 有 静态 路 由 和 动态 路 由 之 分 。 前 者 为 固定 配置 路 由 ,无 更 新 信息 的 开销 ,但 无 
法 适应 变化 ; 后 者 的 更 新 虽然 需要 占用 网 络 资源 ,有 一 定 滞 后 ,但 可 以 自动 调整 路 由 信息 以 

依据 路 由 算法 和 协议 应 用 的 网 络 位 置 , 可 分 为 两 种 类 型 。 

(1) 内 部 网 关 协 议 (Interior Gateway Protocol,IGP) ,在 AS 内 部 范围 使 用 ,如 RIP、 
OSPF ,实现 域内 路 由 选择 (intradomain routing) 。 

(2) 外 部 网 关 协 议 (External Gateway Protocol,EGP) ,在 AS 之 间 使 用 ,如 BGP ,实现 
域 间 路 由 选择 (interdomain routing) 。 

Internet 路 由 算法 采用 分 布 式 的 分 层 路 由 的 思想 ,一 个 结 点 仅 需 关心 和 了 解 两 方面 的 
信息 : 与 其 直接 连接 的 结 点 .AS 内 的 其 他 结 点 。 除 此 以 外 的 结 点 信息 ,这 个 结 点 既 无 须 了 
解 , 也 无 力 全 部 掌握 。AS 以 外 的 路 由 信息 ,由 边界 上 的 结 点 搜集 ,为 所 在 的 AS 提供 对 外 的 
路 由 。 


83 
第 4 章 Internet 路 和 


4.2.1 RIP 


路 由 信息 协议 (Routing Information Protocol, RIP) 是 Internet 的 内 部 网 关 路 由 协议 
(RFC 1058)。RIP 基于 距离 矢量 算法 ,通过 计算 抵达 目的 地 的 最 短 距 离 来 选取 最 佳 
路 径 。 

每 台 路 由 器 需要 维护 到 AS 内 每 一 个 目的 网 络 的 距离 记录 , 称 为 距离 矢量 。 如 果 路 由 
器 与 网 络 直接 连接 , 则 定义 距离 为 0, 可 以 进行 报 文 直 接 交 付 ; 如 果 路 由 器 经 过 nn 台 路 由 器 
与 目的 网 络 间 接连 接 , 则 定义 距离 为 2 每 经 过 一 台 路 由 器 被 称 为 一 跳 (hop) ,因此 对 于 RIP 
而 言 ,距离 就 是 跳 数 。 

RIP 的 跳 数 最 多 为 15 跳 , 当 超 过 15 跳 时 ,RIP 会 认为 目的 地 不 可 达 , 所 以 RIP 适用 于 
小 规模 的 网 络 ( 小 型 AS) 。 

RIP 试图 在 路 由 器 和 目的 网 络 之 间 找 到 一 条 最 短 距 离 (最 少 跳 数 ) 的 路 径 , 即 最 佳 路 径 。 
最 佳 路 径 是 唯一 的 。 

RIP 每 隔 一 个 固定 周期 (如 30s) 与 且 仅 与 相 邻 的 路 由 器 交换 路 由 信息 。 交 换 的 路 由 信 
息 内 容 为 已 知 的 全 部 路 由 信息 ( 即 自己 的 路 由 表 )。 每 台 路 由 器 的 路 由 表 就 在 相互 交换 信息 
的 过 程 中 不 断 完 善 ,直至 收敛 (convergence) ,最 终 所 有 路 由 器 都 获得 正确 .完整 的 路 由 表 。 

RIP 以 寻找 最 短路 径 即 最 少 跳 数 的 路 由 为 目标 ,Bellman-Ford 算法 (或 Ford-Fulkerson 
算法 ) 是 其 算法 基础 : 

若 X 是 A 一 B 最 短路 径 上 的 结 点 , 则 A 一 XX 和 X 一 B 都 是 最 短路 径 。 

设 路 由 表 的 记录 项 表示 为 [目的 地 址 ,最 短 距离 ,下 一 结 点 ]。 

如 图 4.5 所 示 ,“ 目 的 地 址 ”为 报 文 所 指定 的 目的 网 络 的 地 址 ,实际 上 就 是 网 络 号 (可 以 
通过 报 文 的 目的 地 址 和 子 网 掩 码 相 与 获得 );“ 最 短 距 离 ” 为 从 本 结 点 开始 到 达 目 的 网 络 所 
需 经 过 的 最 少 跳 数 ;“ 下 一 结 点 ”为 产生 最 短 距离 的 路 径 所 经 过 的 相 邻 结 点 的 距离 。 


图 4.5 路 由 表 路 由 信息 构成 示意 


RIP 距离 矢量 算法 如 下 。 

初始 情况 下 , 若 结 点 (路 由 器 ) 直 接连 接 网 络 N;, 则 生成 相应 的 路 由 表 记 录 项 LNi,0, 一 j]， 
其 中 “一 ”表示 不 需要 经 过 其 他 结 点 。 如 果 直 接连 接 多 个 网 络 , 则 同 理 生 成 多 条 路 由 表 记 录 。 
然后 结 点 将 自己 的 初始 路 由 表 发 送 给 所 有 相 邻 结 点 。 
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当 一 个 结 点 收 到 来 自 相 邻 结 点 ( 设 其 地 址 为 X; ) 的 RIP 报 文 (其 中 包含 了 X 的 路 由 
表 ) 后 ,执行 如 下 过 程 (参考 如 图 4. 6 所 示 的 实例 )。 


图 4.6 ”RIP 路 由 表 更 新 示例 


(1) 修改 RIP 报 文中 的 所 有 记录 项 ,将 “下 一 结 点 "字段 均 改 为 X;, 并 将 所 有 “距离 ” 字 
段 的 值 加 1( 但 不 大 于 16)。 

(2) 对 修改 后 的 每 个 记录 项 ,分 别 执行 以 下 步骤 : 若 * 目 的 网 络 ? 不 在 路 由 表 中 , 则 添加 
该 记录 项 ,结束 ; 否则 若 * 下 一 结 点 ”也 相同 , 则 替换 原 记 录 项 ,结束 ; 否则 车 “距离 ” 值 小 于 
路 由 表 中 的 值 , 则 进行 更 新 ,结束 ; 其 他 情况 不 做 处 理 ,结束 。 

如 果 规 定时 间 内 (如 3min) 未 收 到 相 邻 结 点 的 更 新 路 由 信息 的 RIP 报 文 , 则 将 此 相 邻 结 
点 记 为 “不 可 达 ”( 距 离 值 16) 。 

需要 注意 的 是 ,在 图 4.6 所 示 的 示例 中 , 当 第 一 次 更 新 路 由 信息 时 ,C 会 分 别 收 到 来 自 
A 和 的 路 由 信息 , 均 包 含 可 达 网 络 N 的 记录 项 , 且 距 离 值 都 为 1, 这 种 情况 下 ,以 先 到 达 
者 为 准 , 后 到 达 者 根据 算法 不 做 更 新 操作 。 虽 然 路 由 会 因 不 同 结 点 的 RIP 报 文 到 达 次 序 不 
同 而 不 同 , 但 是 一 旦 确定 后 ,将 保持 稳定 。 

另外 ,注意 RIP 算法 第 (2) 步 中 , 当 接 收 到 的 记录 项 和 已 有 路 由 表 中 “目的 网 络 ” 和 “下 
一 结 点 ” 均 相 同时 ,应 进行 替换 ,而 不 论 距离 值 训 大 就 小 ,理由 是 可 能 因 网 络 情况 的 变化 
造成 路 由 改变 ,进而 引起 距离 值 的 调整 。 如 图 4.7 所 示 的 实例 说 明了 算法 中 这 种 替换 的 
重要 性 。 

如 图 4.7 所 示 的 例子 说 明 RIP 对 网 络 故 障 可 以 做 出 正确 反映 ,并 修正 路 由 表 , 但 需要 
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示例 
网 络 


8B 传 播 
4 得 知 


C 和 D 得 知 
Ni 不 可 达 


传播 
C 和 D 得 知 


图 4.7 网 络 故 障 引 起 的 RIP 路 由 更 新 示例 


一 定 的 恢复 时 间 。 如 图 4. 8 所 示 的 “极端 "例子 更 证 明了 这 一 点 。A 发 现 网 络 Ni 故障 ,更 
新 了 路 由 表 , 由 于 A 未 到 发 布 周期 ,B* 抢 先 ” 发 送 路 由 更 新 ,造成 路 由 表 来 回 刷新 ,必须 经 过 
多 个 更 新 周期 直到 距离 值 达 到 16( 不 可 达 ) 后 ,双方 才 获 得 正确 的 路 由 表 。 更 为 严重 的 是 ， 
在 这 个 较为 “漫长 ”的 收敛 过 程 中 ,不 但 Ni 网 络 故 障 的 情况 无 法 反映 出 来 ,而 且 引 起 了 路 由 
振荡 。 

RIP 采用 UDP( 端 口号 为 520) 进 行 传送 ,目前 最 新 的 版 本 为 RIP2(RFC 2453)。RIP2 
的 报 文 格式 如 图 4. 9 所 示 。 
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故障 ! 


N LE 
全 六 外 一 起 一 馈 
Q@4、B 原 有 路 由 表 一 | Ni ,0, 一 N ,1 :4 
i 本 a A 
加 4 发 现 故障 ,更 新 路 由 表 一 |N ,16， -一 人 过 路 由 信息 
@4 更 新 路 由 表 一 [Ni ,2.8 | 一 一 (4 未 到 发 布 周期) 
@4 发 送 路 由 信息 ~~~、 
“LN,3,4 | 一 @B 更 新 路 由 表 
4、B 最 终 路 由 表 一 | Ni ,16,B Ni ,16,4 
图 4.8 RIP 故障 恢复 的 极端 例子 
i 4B --------- -人 
0 SU 
命令 -1 或 2 | 版 本 号 =2 | ”0x00 0x00 | 4B 报 头 
地 址 类 别 (2: IP) 路 由 标记 (AS 号 ) | 
网 络 地 址 | yop 
子 网 掩 码 | 路 由 信息 
下 一 结 点 | 可 重复 25 次 
距离 值 


图 4.9 ”RIP2 报 文 格式 


RIP2 报 文中 ,命令 字段 为 1 表示 请 求 路 由 信息 ,2 表示 对 请 求 的 响应 或 未 被 请 求 而 发 
送 的 路 由 信息 。 

单纯 以 跳 数 作为 选 路 的 依据 不 能 充分 描述 路 径 特征 ,可 能 导致 所 选 的 路 径 不 是 最 优 , 因 
此 RIP 只 适用 于 网 络 状况 较为 单纯 和 可 预测 的 中 小 型 的 网 络 。 十 庸 置疑 的 是 ,RIP 简单 而 
有 效 ,所 以 能 够 成 为 路 由 信息 交换 的 标准 之 一 ,几乎 所 有 路 由 器 均 支持 RIP。 


4.2.2 ”OSPF 协议 


开放 式 最 短路 径 优 先 (Open Shortest Path First,OSPF) 协 议 是 一 种 内 部 网 关 协 议 。 目 
前 采用 版 本 2, 即 OSPF2 (RFC 2328)。OSPF 采用 分 布 式 的 链 路 状态 协议 (Link State 
Protocol) ,每 台 OSPF 路 由 器 都 维护 一 个 全 网 一 致 的 链 路 状态 数据 库 (Link State 
Database) ,实际 上 就 是 网 络 拓扑 结构 图 ,使 用 这 个 数据 库 可 以 构造 一 棵 最 短路 径 树 来 计算 
路 由 表 。 

OSPF 基于 Dijkstra 提出 的 最 短路 径 算 法 (SPF) ,执行 过 程 如 下 : 

令 D(v) 为 源 结 点 a 到 结 点 v 的 距离 (包括 从 a 到 w 的 某 一 路 径 中 所 有 链 路 距离 之 和 )， 
再 令 d(i, 站 为 结 点 i 到 j 之 间 的 距离 。 

算法 执行 如 下 步骤 。 
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(1) 令 N 表示 网 络 结 点 的 集合 。 先 令 N 一 {e}。 对 所 有 不 在 N 中 的 结 点 v: 
人 二 d(a,v)， 车 v 与 a 直接 相连 


585 车 vv 与 a 不 直接 相连 
(2) 寻找 一 个 不 在 N 中 的 结 点 也 ,其 D(w) 的 值 为 最 小 。 把 包 加 入 到 NN 中 。 然 后 对 所 
有 不 在 N 中 的 结 点 v: 
D(v) = minL D(v), D(w) + d(w, v) ] 
(3) 重复 步骤 (2) ,直到 所 有 结 点 都 在 N 中 。 
以 图 4. 10(a) 为 例 , 从 结 点 & 出 发 , 按 SPF 算法 逐步 执行 ,如 表 4. 1 所 示 的 各 步骤 和 
图 4. 10(b) 所 示 的 结 点 扩展 ,遍历 所 有 结 点 ,最 终 得 到 图 4. 10(c) 所 示 的 路 由 表 。 


图 4.10 SPF 实例 


表 4.1 SPF 算法 分 步 计 算 表 


步骤 N Db) De) D(ad) DCe) DON 
初始 {a} 2 5 1 co co 
1 {a,d} > 4 (1) 2 
2 {ad,e} 3 (2) 4 
3 {asbsd,e} (2) 3 4 
4 {asbscrd,e} (3) 4 
5 {asbscsd,e, f} (4) 


OSPF 路 由 信息 采用 洪 泛 法 (flooding) 发 送 : 路 由 器 向 所 有 相 邻 的 路 由 器 发 送信 息 ,每 
台 相 邻 路 由 器 又 向 其 所 有 相 邻 路 由 器 转发 此 信息 (不 回 发 )。 通 过 潜 泛 法 ,网 络 中 的 每 台 路 
由 器 都 可 收 到 一 台 路 由 器 发 出 的 同样 的 路 由 信息 副本 , 且 只 收 到 一 次 。 

如 图 4. 11 ,为 了 应 用 于 大 规模 网 络 ,OSPF 将 一 个 自治 系统 划分 为 若干 个 区 域 (area)， 
分 别 分 配 32b 的 区 域 标识 符 ( 采 用 卫 地 址 的 点 分 十 进 制 表 示 法 )。 为 保障 协议 执行 效率 ,一 
个 区 域内 的 路 由 器 最 好 不 超过 200 台 。 洪 泛 法 仅 在 区 域内 运用 ,而 非 在 全 网 范围 , 极 大 减少 
了 网 络 上 路 由 信息 通信 量 。 

因为 一 个 区 域内 的 路 由 器 仅 了 解 本 区 域 的 完整 拓扑 结构 ,不 知道 其 他 区 域 的 网 络 拓扑 
情况 ,为 实现 区 域 间 的 通信 ,OSPF 采用 层次 化 的 区 域 划 分 。 上 层 为 主干 区 域 (backbone 
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其 他 自治 系统 


0 自治 系统 边界 路 由 器 “一 主干 区 域 000D、、， 
区 域 边 界 路 由 器 ,一 ~ 
/ 


可 
y 区 域 0.0.0.3,/ 
~~ 区 域 0.0.0.1_ 一 、 


EC > 


下 、、、、_ 区 域 0002 -一 Ea 
自治 系统 


图 4.11 OSPF 区 域 划 分 示意 


area) ,区 域 标识 符 规定 为 0.0.0.0, 通 过 区 域 边 界 路 由 器 (area border router) 连 接 其 他 下 层 
区 域 ,及 通过 自治 系统 边界 路 由 器 (AS border router) 与 其 他 AS 通信 。 


OSPF 直接 通过 IP 报 文 传送 (IP 的 协议 字段 值 为 89)。OSPF 报 文 格式 如 图 4. 12 
所 示 。 


-一 一 -一 一 一 -- 4B --------- 一 
0 | 
版 本 号 =2 ”类 型 =1~5 | 。 报 文 总 长 度 (B) 
发 送 方 路 由 器 的 接口 iP 地址 
区 域 标 识 符 24B 
校 验 字 鉴别 类 型 1: 口 令 ; 0:N/A | OSPF 报头 
鉴别 
(8 字符 口令 或 全 0) 
类 型 1-5 报 文 的 数据 ee 
图 4.12 OSPF 报 文 格式 
OSPF 有 5 种 报 文 类 型 。 


(1) 问候 (Hello) ,发 现 和 维持 相 邻 结 点 的 可 达 性 。 
(2) 数据 库 描述 (Database Description) ,向 相 邻 结 点 发 送 链 路 状态 项 目的 摘要 信息 , 即 
数据 库 中 已 有 的 结 点 的 链 路 状态 信息 。 


(3) 链 路 状态 请 求 (Link State Request) ,向 对 方 请 求 发 送 指定 的 链 路 状态 项 目的 详细 
信息 。 


(4) 链 路 状态 更 新 (Link State Update) ,用 洪 泛 法 对 全 网 更 新 链 路 状态 。 具 体 又 分 为 5 
种 链 路 状态 ,讨论 从 略 。 
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(5) 链 路 状态 确认 (Link State Acknowledgment) ,对 链 路 状态 更 新 的 确认 。 

链 路 状态 是 指 结 点 与 哪些 结 点 相 邻 ,以 及 到 达 各 相 邻 结 点 的 距离 .时 延 .带宽 、 费 用 等 度 
量 ( 或 代价 ) , 均 可 由 网 络 管理 员 来 灵活 设 定 。 当 且 仅 当 链 路 状态 发 生变 化 时 , 才 使 用 洪 泛 法 
发 送 更 新 路 由 信息 。 但 是 ,如 果 所 有 结 点 都 做 本 地 链 路 状态 信息 的 全 网 广播 , 则 产生 太 大 的 
开销 。 

按照 OSPF 规定 ,每 两 个 相 邻 结 点 每 隔 10s 要 交换 一 次 Hello 报 文 , 起 到 心跳 信号 
(CHeart-beat) 的 作用 ,确保 结 点 是 可 达 的 ,和 否则 , 若 超过 40s 未 收 到 Hello, 则 认为 结 点 不 可 
达 , 应 修改 链 路 状态 数据 库 ,重新 计算 路 由 表 。 

在 此 基础 上 , 结 点 采用 数据 库 描 述 报 文 与 相 邻 结 点 交换 链 路 状态 摘要 信息 ,指出 已 有 的 
信息 (及 其 序号 ) ,然后 , 结 点 采用 链 路 状态 请 求 报 文 要 求 对 方 发 送 自己 所 缺少 的 某 些 链 路 状 
态 项 目的 详细 信息 。 

通过 这 一 系列 的 信息 交换 ,达到 链 路 状态 数据 库 的 全 网 同步 。 

由 于 一 个 结 点 的 链 路 状态 只 与 相 邻 结 点 的 连通 状态 有 关 ,与 网 络 规模 没有 直接 关系 , 因 
此 ,OSPF 的 收敛 速度 比 RIP 要 快 ,而 且 在 更 新 路 由 信息 时 产生 的 流量 也 较 少 。 

如 果 把 OSPF 的 所 有 距离 矢量 (或 代价 ) 都 设 为 1, 则 OSPF 可 以 获得 与 RIP 一 致 的 路 
由 结果 。 

OSPF 具有 下 列 技术 特点 。 

(1) 可 根据 IP 报 文 的 不 同 服 务 类 型 (ToS) 设 置 不 同 的 代价 (1 一 65 535) ,由 此 计算 出 不 
同 的 路 由 。 例 如 ,高 带宽 的 卫星 链 路 ,对 文件 传输 业务 可 分 配 较 低 的 代价 ,而 对 时 延 敏感 的 
业务 则 可 设 定 很 高 的 代价 。 最 为 常用 的 是 以 链 路 带宽 为 代价 。 

(2) 如 果 到 达 同 一 个 目的 地 有 多 条 相同 代价 的 路 径 ,那么 可 以 把 通信 量 均 匀 分 配给 这 
几 条 路 径 ,获得 负载 平衡 (Load Balance) 的 效果 。 

(3) OSPF 报 文 是 可 鉴别 的 ,保障 了 路 由 信息 交换 的 安全 性 。 

(4) OSPF 支持 VLS 和 CIDR。 

(5) OSPF 为 每 一 个 链 路 状态 带 上 32b 序号 ,序号 越 大 则 状态 越 新 ,有 利于 协议 机 判 
别 。 不 必 担 心 序 号 溢出 ,因为 序号 增长 周期 要 求 大 于 5s, 可 保证 600 年 内 不 会 重复 。 


4.2.3 BGP 


边界 网 关 协 议 (Border Gateway Protocol,BGP) 是 一 种 用 于 自治 系统 间 的 路 由 协议 , 主 
要 功能 是 同 其 他 的 BGP 系统 交换 网 络 可 达 信 息 , 属 于 外 部 网 关 协 议 。 最 新 为 版 本 4 的 
BGP4(RFC 1771/1772) 。BGP 使 用 TCP 作为 传输 协议 ,端口 号 为 179 。 

在 自治 系统 内 部 ,网 络 主要 通过 运行 OSPF 和 RIP 等 协议 生成 路 由 ,而 在 自治 系统 之 
间 ,继续 采用 OSPF 和 RIP 就 完全 不 可 行 了 。 因 为 不 同 的 AS 具有 各 不 相同 的 路 由 策略 ,无 
法 采用 一 致 的 度量 依据 来 构造 穿越 多 个 AS 的 最 佳 路 径 ; 其 次 ,大 规模 的 网 络 中 情况 十 分 
复杂 ,要 维持 所 有 的 链 路 状态 非常 困难 ,不 仅 路 由 表 过 于 庞大 、 效 率 低 下 ,而 且 更 新 时 间 必 然 
相当 长 。 这 其 实 正 是 规划 AS 的 原因 之 一 ,可 以 让 网 络 的 拥有 者 充分 运用 其 管理 权 , 自 主治 
理 AS, 而 AS 之 间 的 路 由 问题 交 给 骨干 网 络 和 BGP 等 协议 来 完成 。 

BGP 把 每 个 AS 看 成 一 个 整体 ,只 负责 为 各 个 AS 需要 送 往 其 他 AS 的 数据 报 文 指出 
有 效 的 路 径 , 使 其 通 向 正确 的 目的 地 。 例 如 , 互 连 各 城 域 网 ,形成 国家 网 ,内 部 网 络 的 相互 访 
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问 限制 在 国家 AS 内 ,不 需要 通过 其 他 国家 中 转 , 再 通过 更 高 层次 的 互连网 络 ,实现 国家 网 
之 间 的 信息 交换 。 

BGP 算法 和 协议 遵循 以 下 设计 原则 。 

(1) 允许 使 用 多 种 路 由 选择 策略 ,灵活 应 对 各 种 互 连 需求 ,综合 考虑 包括 技术 、 经 济 、 安 
全 政治 等 因素 。 

(2) 尽力 寻找 一 条 较 好 的 路 由 ,而 非 所 谓 的 最 佳 路 由 。 

(3) 避免 循环 路 由 (回路 ) 。 

(4) 以 CIDR 为 基础 ,支持 路 由 信息 的 聚合 和 削减 。 

因此 ,BGP 是 以 数据 交换 的 可 达 性 作为 目标 ,采用 路 径 矢 量 (path vector) 计 算 路 由 ,有 
别 于 RIP 的 距离 矢量 和 OSPF 的 链 路 状态 。 

如 图 4. 13 所 示 , 每 个 自治 系统 都 要 选择 一 台 路 由 器 作为 BGP 发 言 人 (BGP speaker)， 
运行 BGP, 代 表 整 个 AS 和 其 他 AS 交换 路 由 信息 。 两 个 互 连 的 BGP 路 由 器 彼此 称 为 对 方 
的 邻居 (neighbor) 或 称 为 对 等 体 (peer)。 对 等 体 的 连接 有 两 种 模式 : IBGP(Internal BGP) 
和 EBGP(External BGP)。IBGP 是 指 单个 AS 内 部 的 路 由 器 之 间 的 BGP 连接 ,EBGP 是 指 
AS 之 间 的 路 由 器 建立 BGP 会 话 。 


re BGP 发 言 人 Ce ‘AS 7 
Router BGP Speaker ~ 、\ 区 


图 4.13 BGP 与 AS 互 连 示 意 


RE 人 人 BGP 有 4 种 报 文 , 报 文 格式 如 图 4. 14 所 
0 示 , 具 有 19B 的 报头 和 可 变 长 的 数据 字段 。 
BGP 报 头 - -一 一- NE 报头 中 16B 的 标记 (marker) 用 来 鉴别 BGP 
A 报 文 ,类 似 于 密码 ( 供 扩 展 ) ,如果 不 使 用 鉴 
a 报 文 总 长 度 QB) [类 型 1~4 别 , 则 置 为 全 1。 报 文 最 大 长 度 为 4096( 包 括 
报头 )。 类 型 字段 编码 为 1 一 4 ,分 别 表示 4 种 

可 变 长 度 BGP 数 据 BGP 报 文 。 

(1) 打开 (Open) 报 文 ,类 型 =1。 

3 用 来 与 邻居 发 言 人 建立 连接 关系 。 路 由 


图 4.14 ”BGP 报 文 格式 器 上 线 时 ,首先 应 当 向 所 有 邻居 发 送 打开 报 
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文 , 相 当 于 一 种 声明 及 请 求 。 如 果 邻 居 太 忙 或 发 生 了 故障 ,可 以 不 做 响应 ,协商 失败 ; 如 果 
邻居 同意 接收 ,就 响应 保 活 报 文 , 在 这 之 后 ,就 可 进行 路 由 信息 的 交换 。 打 开 报 文 包含 6 个 
字段 (位 于 BGP 数据 字段 中 ) 。 

@ 版 本 号 ,1B,BGP4 为 4。 

@ 本 AS 编号 ,2B, 全 球 唯一 的 16b 编码 。 

@ 保持 时 间 ,2B, 以 秒 (s) 计 ,保持 邻居 关系 的 时 间 。 

@ BGP 标识 符 ,4B, 一 般 为 本 路 由 器 IP 地 址 。 

@ 可 选 参数 长 度 ,1B。 

@ 可 选 参数 。 

(2) 更 新 (Update) 报 文 ,类 型 =2。 

用 以 发 送 某 一 路 由 的 信息 ,并列 出 需要 撤销 的 路 由 。 更 新 报 文 就 是 BGP 发 言 人 之 间 交 
换 路 由 信息 的 载体 。 在 BGP 刚 开始 运行 时 ,需要 与 邻居 交换 整个 路 由 表 , 以 后 在 路 由 发 生变 
化 (增加 、 改 变 或 取消 ) 时 才 发 送 更 新 报 文 。 更 新 报 文 有 5 个 字段 (位 于 BGP 数据 字段 中 )。 

@ 不 可 行路 由 总 长 度 ,2B, 指 明 下 一 个 字段 (撤销 的 路 由 ) 的 长 度 。 

@ 撤销 的 路 由 , 列 出 所 有 需要 撤销 的 路 由 。 

@ 路 径 属 性 总 长 度 ,2B, 指 明 下 一 个 字段 (路 径 属性 ) 的 长 度 。 

@ 路 径 属性 ,定义 在 这 个 报 文中 增加 的 路 径 的 属性 ,每 次 最 多 增加 一 条 。 

@@ 网 络 层 可 达 性 信息 (Network Layer Reachability Information, NLRD) ,定义 发 出 此 
报 文 的 网 络 ,包括 网 络 前 缀 的 比特 数 、IP 地 址 前 级 。 

(3) 保 活 (Keep-alive) 报 文 ,类 型 ==3。 

仅 19B 的 报头 部 分 ,没有 数据 部 分 。 用 以 响应 打开 报 文 和 更 新 报 文 ,并 且 与 邻居 定时 
(如 每 隔 30s) 交 换 , 以 保持 活跃 及 维持 邻居 关系 。 

(4) 通知 (Notification) 报 文 ,类 型 二 4。 

发 送 检测 到 的 差错 信息 , 即 故障 报告 。 通 知 报 文 有 3 个 字段 。 

@ 差错 代码 ,1B。 

@ 差错 子 代码 ,1B。 

@ 差错 数据 ,描述 差错 的 诊断 信息 。 

由 于 BGP 路 由 器 从 所 有 邻居 结 点 获得 路 由 信息 ,了 解 各 条 路 由 的 最 新 状态 ,便于 选择 
路 径 。 当 某 个 路 由 器 或 某 条 链 路 发 生 故 障 时 ,BGP 路 由 器 不 仅 可 以 及 时 获知 ,而 且 可 以 较 
为 容易 地 选择 一 条 新 路 径 来 替代 。 


HAPTERS 


第 5 章 Ad-hoc 协议 


自 组 网 (Ad-hoc) ,或 称 自 组 织 网 络 ,是 一 种 没有 专门 的 基础 设施 (如 
AP) .无线 结 点 直接 进行 相互 通信 的 网 络 。 在 自 组 网 中 ,无线 结 点 之 间 具 有 
对 等 性 ,可 任意 分 布 . 可 自由 移动 ,因此 具有 拓扑 结构 的 动态 性 \ 不 确定 性 。 
由 于 结 点 的 无 线 信号 覆盖 范围 有 限 , 结 点 间 的 通信 可 能 需要 其 他 结 点 中 转 ， 
因此 自 组 网 又 被 称 为 自 组 织 多 跳 网 (Self-organized Multi-hop Network) ,而 
且 自 组 网 的 所 有 结 点 的 地 位 基本 上 是 平等 的 ,因此 还 被 称 为 无 线 对 等 网 络 
(Wireless Peer-to-Peer Network) 。 

Ad-hoc 是 拉丁 语 , 意 为 仅 为 此 目的 (for this purpose only)、 特 定 的 。 因 
此 ,Ad-hoc 可 理解 为 一 种 有 特定 目的 的 无 线 网 络 , 其 特殊 性 就 在 于 可 自行 
组 网 。 


5.1 Ad-hoc 原理 


自 组 网 具有 比较 鲜明 的 特色 ,主要 表现 在 : 无 中 心 .相互 对 等 与 自 组 织 ; 
多 跳 路 由 ; 动态 拓扑 结构 ; 自动 配置 ; 有 限 的 无 线 信道 带宽 ; 无 线 终端 性 能 
较 低 ; 能 量 有 限 ; 安全 性 较 弱 ; 网 络 技术 的 特殊 性 较 强 等 。 

自 组 网 的 无 线 结 点 既是 终端 ,又 是 路 由 器 ,具有 系统 结构 的 独立 性 。 结 
点 一 般 由 嵌入 式 处 理 机 、 无 线 通信 模块 .电源 模块 等 组 成 ,也 可 是 PC 笔记本 
电脑 .PDA 或 手机 等 。 

实际 上 ,传统 的 Internet 虽然 是 以 有 线 通 信 为 主 , 但 就 是 通过 路 由 器 结 
点 相互 协调 来 组 网 ,而 没有 一 个 所 谓 的 网 络 中 心 来 集中 控制 ,从 这 个 意义 上 
说 ,Internet 何尝 不 是 一 个 最 大 的 Ad-hoc 网 络 呢 ? 所 以 ,Internet 的 许多 路 
由 技术 可 以 延 用 到 无 线 Ad-hoc 网 络 中 。 

根据 骨干 网 络 路 由 结 点 的 移动 性 特点 , 自 组 网 可 分 为 无 线 网 状 网 (Wireless 
Mesh Network.WMN) 和 移动 自 组 网 (Mobile Ad-hoc Network. MANET) 两 
类 。WMN 骨干 网 络 采用 无 线 连接 方式 ,路 由 结 点 移动 性 较 小 、 性 能 较 强 ,路 
由 结 点 之 间 、 路 由 结 点 和 无 线 终端 之 间 可 使 用 不 同 的 无 线 通 信 技 术 , 一 些 路 
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由 结 点 可 具有 有 线 网 络 接口 (如 接 人 Internet); MANET 的 无 线 结 点 移动 性 较 大 ,网 络 拓扑 
结构 和 连接 关系 与 各 个 结 点 的 位 置 相关 ,每 个 结 点 都 需要 为 其 他 结 点 提供 路 由 功能 , 结 点 间 
一 般 使 用 单一 信道 通信 。 

自 组 网 通常 有 两 种 组 网 结构 (如 图 5. 1 所 示 ): 平面 结构 和 分 级 结构 。 在 平面 结构 中 ， 
所 有 结 点 都 是 平等 的 ,是 对 等 式 结构 ; 在 分 级 结构 中 , 结 点 被 划分 为 得 (cluster) ,每 个 簇 由 
一 个 簇 关 和 多 个 簇 成 员 组 成 ,而 簇 头 在 逻辑 上 形成 高 一 级 的 网 络 ,并 且 还 可 以 再 分 簇 ,构成 
更 高 一 级 网 络 。 簇 头 负 责 簇 间 数据 的 转发 工作 。 簇 头 可 以 预先 指定 ,也 可 以 由 结 点 通过 特 
定 算法 自动 选举 产生 。 


ET | 
低级 / 


(b) 单 频 分 级 结构 


图 5.1 自 组 网 结构 示意 


分 级 结构 自 组 网 又 可 进一步 分 为 单 频 分 级 和 多 频 分 级 两 种 类 型 。 

自 组 网 中 需要 注意 隐蔽 站 问题 (Hidden Station Problem) 和 暴露 站 问题 (Exposed 
Station Problem) ,两 者 是 可 能 引起 数据 接收 冲突 的 潜在 威胁 因素 。 

如 图 5. 2(a) 所 示 , 当 A 发 送 报 文 给 B, 由 于 C 在 A 的 覆盖 范围 之 外 ,如 果 C 此 时 也 发 
送 报 文 给 B 或 D, 就 会 在 B 处 产生 碰撞 ,C 就 是 相对 于 A 的 隐蔽 站 。 因 为 C 作为 发 送 者 产 
生 冲 突 , 所 以 被 称 为 隐蔽 发 送 站 。 


1 
网 NA 、 1 Pe Pe 全 ~ 
\ 1 
/ 、 三 “三 硬 町 
> 
A SB/ c D Re \B CC D 
、 x i 1 、 \ / / 
~、 和 了 1 、 二 天 
a a i ee 1 Po 
Es i 1 
(a) C 为 A 的 隐蔽 发 送 站 (b) C 为 暴露 站 


图 5.2 隐蔽 站 问题 和 暴露 站 问题 


采用 RTS-CTS 握手 机 制 可 以 解决 隐蔽 发 送 站 问题 ,因为 当 B 收 到 A 发 出 的 RTS 而 响 
应 CTS 后 ,C 同样 可 以 收 到 CTS, 所 以 进入 延迟 发 送 状 态 。 但 是 ,如 果 此 时 D 向 C 发 送 
RTS,C 无 法 做 出 响应 ,D 只 能 不 断 超时 重 发 RTS ,浪费 了 资源 ,这 种 情况 下 的 C 称 为 A 的 
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隐蔽 接收 站 。 因 此 握手 机 制 解决 了 隐蔽 发 送 站 问题 , 却 引 发 了 隐蔽 接收 站 问题 ,在 单 信道 工 
作 状 态 下 无 法 两 全 其 美 。 

使 用 双 信 道 工作 方式 (注意 区 别 于 自 组 网 多 频 分 级 结构 ), 即 数据 和 控制 信息 分 别 在 不 
同 的 信道 上 传送 ,可 以 解决 隐蔽 接收 站 问题 ( 试 写 出 算法 流程 ) 。 

如 图 5. 2(b) 所 示 ,B 向 A 发 送 报 文 , 应 当 不 影响 C 向 D 发 送 报 文 ,但 C 在 B 的 覆盖 范 
围 内 ,被 阻塞 而 不 能 发 送 , 则 C 就 是 暴露 站 。 如 果 采 用 RTS-CTS 握手 机 制 ,可 在 一 定 程度 
上 解决 暴露 站 问题 : B 向 A 发 送 RTS 后 ,由 于 C 收 不 到 A 向 B 回 送 的 CTS,C 可 判断 自己 
是 暴露 站 ,应 可 向 DD 发 送 数据 。 

进一步 分 析 , 当 C 判断 自己 可 以 向 D 发 送 数据 ,就 发 出 RTS,D 于 是 回复 CTS, 然 而 ,该 
CTS 与 B 发 送 给 A 的 数据 报 文 在 C 处 碰撞 ,使 C 收 不 到 CTS, 这 样 C 就 重复 发 送 RTS, 做 
无 用 功 , 这 种 情况 下 ,C 被 称 为 暴露 发 送 站 。 另 外 , 若 D 要 向 暴露 站 C 发 送 数 据 ,发 送 的 
RTS 同样 会 在 C 处 冲突 ,C 因此 无 法 正常 收 到 RTS, 也 就 无 法 接收 来 自 D 的 数据 ,这 种 情 
况 下 C 被 称 为 暴露 接收 站 。 这 说 明 单 信道 通信 实际 上 不 能 解决 暴露 站 问题 , 易 见 采用 双 信 
道 工 作 方式 可 以 比较 理想 地 解决 两 种 暴露 站 问题 ( 试 写 出 算法 流程 )。 

Ad-hoc 协议 主要 有 两 类 : 一 类 是 信道 接 入 协议 , 即 MAC 层 协议 ,这 是 系统 运行 的 基 
础 ; 另 一 类 是 路 由 协议 ,用 于 建立 结 点 间 的 转发 路 径 。 路 由 协议 有 表 驱 动 单 播 . 按 需 单 播 、 
组 播 广播. 区域 和 分 篮 . 相 关 性 等 不 同 种 类 。 

MACA 是 用 于 Ad-hoc 单 频 网 络 的 信道 接 入 协议 ,使 用 RTS-CTS 握手 机 制 ,算法 详 见 
前 述 讨论 ,力求 解决 隐蔽 站 和 暴露 站 问题 ,但 不 能 完全 避免 。MACA 是 802. 11WLAN 标准 
的 基础 之 一 。 除 MACA 外 ,典型 的 单 信道 接 入 协议 还 有 IEEE 802. 11 DCF( 即 CSMA/CA 
算法 ) .MACAW 协议 (MACA 的 改进 ) .FAMA 协议 (更 好 地 解决 MACA 和 MACAW 中 
仍然 存在 的 隐蔽 站 问题 ) 等 。 

Ad-hoc 路 由 协议 设计 的 难点 首先 在 于 网 络 拓扑 结构 的 不 稳定 性 ,所 以 需要 快速 适应 动 
态 变 化 ,快速 收 剑 。 其 次 ,Ad-hoc 网 络 通常 带宽 较 低 、 冲 突 较 多 ,还 应 尽量 节能 ,所 以 路 由 协 
议 的 高 效 性 非常 重要 。 此 外 ,要 防止 路 由 干扰 、 路 由 窃取 、 路 由 支持 、 黑 洞 攻击 等 安全 威胁 。 
Ad-hoc 路 由 协议 分 为 平面 路 由 (包括 表 驱 动 . 按 需 驱 动 ) ,层次 路 由 、 基 于 位 置 的 路 由 等 主要 
类 型 。 

在 设计 Ad-hoc 协议 时 ,除了 必须 满足 技术 可 行 性 、 高 效率 、 避 免 隐蔽 站 和 暴露 站 等 问 
题 以 外 ,还 应 注重 降低 能 耗 (包括 单一 结 点 的 能 耗 和 全 局 平衡 能 耗 )、 保 障 通信 和 路 由 安全 、 
提供 QoS 支持 .可 管理 等 重要 因素 。 


5.2 Ad-hoc 路 由 协议 


5.2.1 DSDV 协议 


目标 序列 距离 向 量 (Destination Sequence Distance Vector, DSDV) 属 于 表 驱 动 平 面 路 
由 协议 ,用 于 建立 Ad-hoc 网 络 的 路 由 ,实现 结 点 间 报 文 的 多 跳 转 发 。 每 个 结 点 维护 一 张 路 
由 表 , 记 录 该 结 点 到 网 络 中 每 一 个 目标 结 点 的 路 由 信息 ,属性 包括 目标 结 点 、 下 一 跳 结 点 ,到 
目标 结 点 的 跳 数 .由 目标 结 点 指定 的 序列 号 (就 是 目标 序列 名 称 的 由 来 ) 。 
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DSDYV 算法 如 下 。 


(1) DSDV 周期 性 地 更 新 路 由 ,或 在 拓扑 结构 发 生变 化 时 触发 更 新 。 更 新 路 由 报 文 包 
含 内 容 有 每 个 结 点 所 能 到 达 的 目标 结 点 、 到 目标 结 点 的 跳 数 、 每 条 路 径 的 序列 号 , 即 结 点 的 
路 由 信息 表 。 

(2) 当 结 点 接收 到 路 由 更 新 报 文 时 ,将 跳 数 加 1, 并 与 当前 路 由 信息 比较 , 旧 的 ( 较 小 的 ) 
序列 号 的 路 径 被 新 的 路 由 信息 替代 ; 如 果 序列 号 相同 ,就 保存 跳 数 较 小 的 路 径 。 更 新 路 由 
后 ,需要 将 新 的 路 由 信息 发 布 给 相 邻 结 点 。 

(3) 当 发 生 链 路 中 断 时 ,通过 该 链 路 的 所 有 路 径 的 长 度 ( 跳 数 ) 被 修改 为 无 穷 大 ,并 更 新 
路 径 的 序列 号 (只 有 这 种 情况 下 序列 号 不 是 由 目标 结 点 指定 ) 。 

(4) 如 果 结 点 的 一 条 路 径 长 度 ( 跳 数 ) 为 无 穷 大 ,那么 当 接 收 到 的 路 径 序列 号 等 于 或 新 
于 当前 序列 号 ,将 触发 路 由 更 新 的 广播 。 

例如 在 图 5. 3 所 示 的 拓扑 结构 中 , 结 点 Ni 发 生 移动 。 以 二 Na,N,, 电 ,S 二 表示 一 条 路 
由 信息 。 当 N; 发 现 与 Ni 的 链 路 中 断 ,就 根据 (3) 将 原 有 的 到 Ni 的 路 由 信息 二 Ni ,Ni ,1， 
175 之 设置 为 二 Ni ,Nico,176 二 ,并 启动 更 新 路 由 信息 。 其 他 结 点 陆续 收 到 信息 ,根据 (2)， 
由 于 关于 Ni 的 新 路 径 的 序列 号 较 新 ,因此 到 Ni 的 跳 数 最 终 都 等 于 oo, 即 不 可 达 。 
<NM .Ni.4.188> 、 

1 


\ 
DH ,Ns,5,188> 


<NI ,Ny,2,188> 
* 


7 


/ 
Ce) <N ,Ns,3,188> 
Ss 


<Ni,N2,2,188> 


图 5.3 DSDV 路 由 更 新 示例 


而 当 Ni 到 达 新 的 位 置 后 ,向 Ns 发 送 二 Ni ,Ni,0,188 二 ,NN; 根据 (2) 更 新 路 由 表 , 并 根 
据 (4) 广 播 路 由 信息 ,最 终 各 结 点 将 都 获得 图 中 所 示 的 到 Ni 的 收敛 路 由 。 可 见 DSDV 类 
似 RIP。 

DSDYV 的 优点 是 不 产生 路 由 环 路 ,但 难以 确定 最 大 稳定 (收敛 ) 时 间 、 网 络 负载 较 重 \ 不 
支持 多 路 径路 由 。 与 DSDV 同属 表 驱 动 类 型 的 还 有 无 线路 由 协议 (Wireless Routing 
Protocol,WRP) .DBF(Distributed Bellman Ford) 等 。 


5.2.2 DSR 协议 


动态 源 路 由 (Dynamic Source Routing, DSR) 属 于 按 需 路 由 的 平面 路 由 协议 ,是 基于 源 
结 点 的 路 由 发 现 机 制 。 

与 表 驱 动 路 由 协议 的 设计 理念 不 同 , 按 需 路 由 协议 认为 在 动态 变化 的 Ad-hoc 网 络 中， 
没有 必要 维护 到 所 有 结 点 的 路 由 ,只 有 在 没有 到 达 目 标 结 点 的 路 由 的 时 候 , 才 按 需 进行 路 由 
查找 ,当然 数据 报 文 会 因 建立 路 由 产生 延 时 。 
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按 需 路 由 协议 由 路 由 查找 和 路 由 维护 两 个 过 程 组 成 。 

如 图 5.4 所 示 , 源 结 点 S 广播 到 的 路 由 请 求 报 文 , 相 邻 结 点 B 收 到 路 由 请 求 报 文 后 ， 
记录 报 文 经 过 了 B, 然 后 继续 广播 ,请 求 从 B 到 DD 的 路 由 ,直到 到 达 D。 结 点 了 D 会 收 到 多 条 
来 自 不 同 路 径 的 请 求 报 文 ,每 个 报 文中 包含 相应 的 路 由 信息 ,D 根据 一 定 的 策略 选择 一 条 
最 优 路 径 , 并 将 该 路 由 信息 附 在 向 源 结 点 S 发 送 的 响应 报 文中 ,S 收 到 响应 报 文 后 即 获得 了 
去 往 D 的 路 由 。 当 拓扑 结构 发 生变 化 时 ,通过 路 由 维护 过 程 删除 失效 路 由 。 


广播 R_req ee 
接收 R S 0 resp 
发送 数据 一 一 一 一 C 一 一 一 人 一 ,| 挨 收 到 数据 
发 送 数据 ES a 
接收 R_err i 送 R_ 通路 失效 


图 5.4 按 需 路 由 协议 基本 流程 


DSR 的 源 结 点 在 数据 报头 指定 了 到 目标 结 点 的 完整 路 径 , 每 个 中 间 结 点 只 需 根据 该 路 
径 将 报 文 转发 给 下 一 跳 结 点 。 源 结 点 首先 检查 路 由 缓存 , 若 存在 路 径 , 则 直接 使 用 ,和 否则 执 
行路 由 查找 协议 。 

DSR 源 结 点 发 起 的 路 由 查找 过 程 是 一 个 优化 的 泛 洪 过 程 ( 即 洪 泛 法 ) ,基本 算法 如 下 。 

(1) 源 结 点 广播 发 送 R_req( 路 由 请 求 ) 报 文 ,包含 唯一 的 ID 号 和 初始 值 为 空 的 列表 ， 
类 似 二 S 一 D,ID,via{ } 

(2) 当 一 个 结 点 接收 到 R_req 报 文 时 ,车 已 经 见 过 该 ID 或 列表 中 已 经 包含 该 结 点 , 则 
到 此 终结 ,否则 将 自身 添加 到 列表 末尾 ,继续 广播 。 

(3) 如 果 一 个 中 间 结 点 可 以 根据 已 有 信息 构建 出 从 源 结 点 到 目标 结 点 的 完整 路 径 , 则 
将 路 径直 接 回 复 给 源 结 点 ,不 需要 继续 泛 洪 。 

(4) 参与 查找 过 程 的 结 点 都 可 以 学 习 路 径 , 并 保存 于 自身 缓存 中 。 

(5) 如 果 收 到 两 条 以 上 的 不 同 路 径 , 则 根据 最 短路 径 原则 选择 最 优 路 径 。 

(6) 目标 结 点 回复 R_resp。 

(7) 如 果 发 现 链 路 失效 , 结 点 将 通过 发 送 R_err 报告 路 由 错误 ,由 源 结 点 按 需 重新 发 起 
路 由 查找 过 程 。 

与 DSR 协议 同属 于 按 需 单 播 路 由 协议 的 还 有 按 需 距离 向 量 路 由 协议 AODV (RFC 
3561) .LAR、TORA 等 。 

此 外 ,基于 组 播 的 路 由 协议 有 : 基于 树 的 AMRoute、AMRIS, 基 于 网 状 网 (Mesh) 的 
ODMRP、CAMP 等 ; 基于 广播 的 路 由 协议 有 基于 最 小 连通 支配 集 的 广播 算法 .竞争 广播 算 
法 ; 还 有 区 域 路 由 协议 (ZRP) 、 基 于 相关 性 路 由 协议 (ABR) 和 单 稳定 性 路 由 协议 (SSR) 等 。 


5.3 Ad-hoc 网 络 


5.3.1 MANET 
移动 自 组 网 (MANET) 是 Ad-hoc 网 络 的 主要 类 型 之 一 ,其 特征 是 结 点 相互 平等 、 一 般 
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使 用 单一 信道 通信 、 结 点 移动 性 较 强 。 


移动 自 组 网 不 同 于 移动 IP(Mobile IP) ,虽然 移 动 自 组 网 通常 使 用 IP 为 网 络 层 协议 。 
移动 IP 主要 研究 Internet 的 移动 性 用 户 终端 和 业务 ,包含 有 线 通信 和 链 路 在 内 ,如 漫游 认证 、 
自动 配置 .无 颖 切换 等 。 

MANET 相当 于 一 个 实例 化 的 Ad-hoc 网 络 , 除 了 运用 链 路 接 入 、 路 由 生成 等 技术 实现 
结 点 互 连 外 ,还 需要 考虑 以 下 方面 的 问题 。 

(1) 特定 的 应 用 系统 设计 。 

(2) 数据 链 路 层 以 上 的 协议 栈 规划 、 结 点 编 址 方法 。 

(3) 结 点 认证 机 制 .数据 加 密 机 制 .安全 防范 机 制 制定 。 

(4) 网 络 管理 体系 ,管理 域 的 建立 。 

此 外 ,MANET 需要 在 应 用 系统 相关 的 环境 中 对 结 点 的 移动 建 模 , 以 优化 技术 设计 、 提 
高 管理 能 力 并 提供 决策 参考 。 针 对 移动 个 体 有 随机 移动 模型 .随机 路 点 (Waypoint) 移 动 模 
型 .随机 方向 移动 模型 城区 移动 模型 ; 针对 移动 群 组 (相关 个 体 ) 有 队列 移动 模型 参考 点 
移动 模型 .追逐 移动 模型 ; 还 有 利用 真实 踪迹 进行 评估 的 基于 踪迹 的 移动 模型 ; 等 等 。 

在 MANET 设计 中 需要 考虑 对 异常 情况 或 边际 效应 做 出 正确 处 理 ,并 防止 错误 蔓延 ， 
例如 对 入 侵 结 点 的 预 判 和 处 理 。 人 侵 结 点 是 指 一 个 结 点 在 通信 过 程 中 从 一 个 网 络 ( 位 置 ) 移 
动 到 另 一 个 网 络 (位 置 ) ,与 当地 网 络 ( 位 置 ) 正 在 进行 的 通信 产生 冲突 。 


5.3.2 WMN 


无 线 网 状 网 (WMN) 不 同 于 其 他 无 线 网 络 之 处 在 于 它 是 一 种 基于 多 跳 路 由 和 Ad-hoc 
技术 的 网 络 结构 ,具有 移动 、 宽 带 特 性 ,可 以 动态 扩展 ,比较 适合 大 面积 开放 区 域 (如 校园 ,小 
区 ,城市 特定 公共 场所 ) 的 无 线 网 络 组 网 (如 图 5.5 所 示 )。 


图 5.5 WMN 组 网 示例 


WMN 为 网 状 结构 ,所 有 结 点 间 可 相互 连接 、 相 互 转发 数据 ,一般 选取 部 分 相对 固定 的 、 
性 能 较 高 的 结 点 作为 互 连 的 路 由 结 点 。 当 两 个 结 点 间 的 一 条 链 路 失效 后 , WMN 路 由 器 会 
经 由 一 个 或 多 个 其 他 路 由 器 寻找 到 一 条 替代 路 径 。 普 通 结 点 也 可 以 通过 结 点 接力 绕 开 障碍 
物 ,使 用 最 佳 的 传输 路 径 ,体现 了 网 状 网 所 应 有 的 健壮 性 。 由 于 一 条 路 径 可 以 由 多 个 结 点 构 
成 ,每 个 结 点 只 需 与 相 邻 结 点 通信 ,从 而 可 以 降低 总 功 耗 。 实 际 上 ,Internet 就 是 Mesh 网 络 
最 典型 的 例子 (有 线 Mesh 网 络 ) ,任意 两 个 结 点 间 的 通信 都 可 以 通过 其 他 多 个 结 点 (路 由 
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器 ) 进 行 转发 (多 跳 ) 。 

在 WMN 组 网 中 ,可 以 充分 运用 WLAN、WiMax、MANET、WSN 等 各 种 技术 ,提供 面 
向 多 媒体 业务 ,便捷 接 入 、 高 速 通 信 、 自 由 移动 的 服务 。 

为 提高 无 线 通 信 频 率 的 使 用 效率 ,并 尽量 减少 相互 干扰 ,WMN 常 采 用 智能 定向 天 线 技 
术 ,成 为 其 技术 特色 之 一 。 智 能 定向 天 线 是 一 种 信和 号 功率 集中 的 指定 方向 波束 成 形 技术 , 采 
用 多 输入 多 输出 (Multi-Input Multi-Output, MIMO) 机 制 ,使 用 相位 受 控 的 m 个 天 线 振子 
组 合 ,可 形成 m 个 不 同方 向 的 低 功率 定向 发 射 ,使 到 达 接 收 点 的 信号 功率 最 强 , 而 对 其 他 邻 
近 站 点 的 辐射 最 小 、 影 响 最 小 ,实现 网 络 密集 覆盖 的 低 功 率 应 用 。 在 不 能 直接 利用 智能 天 线 
的 场合 ,也 可 以 采用 MIMO 技术 ,以 提高 功率 效率 和 传输 效率 。 

在 WMN 中 可 能 存在 一 些 特殊 的 网 络 , 例 如 一 种 接 入 WMN 的 Ad-hoc 网 络 , 允 许 有 输 
人 或 输出 流量 ,但 不 允许 有 途经 (穿越 ) 的 流量 ,这 种 网 络 被 称 为 残 桩 网 络 (Stub Network)。 

基于 WMN 技术 可 以 设计 各 种 有 效 的 应 用 ,例如 : 

(1) 园区 无 线 网 络 。 利 用 WMN 技术 可 以 使 用 较 少 的 网 络 资源 .投入 较 低 的 成 本 组 建 
园区 网 络 ,并 接 人 Internet, 开 展 特色 应 用 服务 。 

(2) 突 发 事件 (救灾 ) 现 场 应 急 指挥 网 络 。WMN 可 以 提供 移动 、 宽 带 和 灵活 的 自 组 网 
通信 ,在 重大 事件 或 重要 活动 的 现场 ,能 够 迅速 建立 无 线 网 络 ,实现 现场 指挥 人 员 和 处 和 警 人 
员 之 间 的 数据 .语音 、 实 时 视频 通信 ,并 能 够 对 处 警 人 员 精 确定 位 ,将 现场 的 画面 和 数据 实时 
回 传 给 指挥 中 心 ,以 此 作为 现场 决策 的 重要 依据 。 

(3) 智能 交通 管理 。 先 进 的 智能 交通 管理 系统 ,包括 交通 信号 控制 系统 、 交 通 视频 监控 
系统 ,交警 车 辆 调度 .交通 信息 提示 牌 、 车 辆 定位 等 功能 ,需要 依靠 移动 宽带 网 络 的 支撑 ， 
WMN 正 是 解决 方案 之 一 。 

(4) 大 型 赛事 组 网 。 在 任何 时 间 、 任 何 地 点 享受 各 种 形式 的 信息 服务 已 经 成 为 一 项 基 
本 需求 。WMN 可 以 满足 人 员 临 时 性 强 .密集 度 大 ` 流 动 性 快 、 移 动 性 高 的 特点 ,为 各 种 类 型 
的 终端 提供 高 速 接 人 服务 。 


5.3.3 WSN 

1. WSN 原理 

无 线 传感器 网 络 (Wireless Sensor Network, WSN) 是 带 有 传感器 的 微型 系统 组 成 的 
Ad-hoc 网 络 。 由 于 WSN 结 点 体积 小 .分 布 广 ,也 被 形象 地 称 为 智能 尘埃 (Smart Dust) 。 

WSN 体现 了 无 处 不 在 的 信息 采集 方法 ,是 普 适 计算 (Pervasive Computing) 的 重要 基 
础 性 技术 。 如 图 5. 6 所 示 ,WSN 可 随机 投放 到 目标 环境 中 ,借助 本 身 携带 的 各 种 类 型 传 感 
器 ,测量 区 域内 的 温度 .湿度 .噪声 . 光 强 ` 气压、 震动 、 移 动 , 以 及 电磁 波 、 红 外 线 、 放 射 性 、 土 
坏 成 分 .运动 方向 和 速度 ,物体 大 小 等 ,并 将 采集 到 的 信息 通过 Ad-hoc 联网 .汇集 并 传递 到 
管理 中 心 ( 观 察 者 ) 。 

WSN 的 应 用 将 会 非常 广泛 。 在 军事 上 ,WSN 可 用 于 敌情 侦察 .战场 到 测 、 预 警 栅栏 、 
核武 器 或 化 学 武器 爆炸 现场 勘察 等 ; 在 环保 方面 ,可 用 于 气象 参数 采集 、 环 境 状 况 监测 、 地 
震 和 水 灾 预 报 等 ; 在 城市 管理 方面 ,可 用 于 交通 流量 监测 物流 调度 .定位 服务 .不 停车 收费 
(Electronic Toll Collection,ETC) 等 ; 在 日 常生 活 中 ,可 用 于 安保 监控 ,家 居 环 境 、 健 康 指标 
测量 、 宠 物 管理 等 。 
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图 5.6 WSN 系统 示意 


由 此 可 以 看 出 WSN 和 其 他 Ad-hoc 网 络 的 差别 : WSN 的 明确 目的 是 通过 各 个 结 点 获 


取信 息 ,网络 中 信息 传递 有 一 致 的 方向 ,所 有 结 点 要 么 是 信息 源 , 要 么 是 中 转 站 ,而 不 可 能 是 
信息 传递 的 终点 ; 而 且 , 一 旦 WSN 部 署 完毕 ,其 结 点 通常 不 具有 移动 性 ,或 移动 性 不 强 , 因 
此 拓扑 结构 相对 稳定 。 


然而 , 正 因为 WSN 结 点 需要 独立 工作 , 且 工 作 环境 往往 十 分 恶劣 ,所 以 其 可 靠 性 、 适 应 


性 、 容 错 性 ,相互 协 作 能 力 非 常 重要 。 其 中 能 量 供给 (电池 ) 是 最 薄弱 的 环节 ,能 耗 决 定 了 结 
点 的 工作 寿命 ,而 且 可 能 影响 到 局 部 或 全 局 的 网 络 。 尤 其 是 因为 信息 传递 总 是 指向 管理 中 
心 方向 , 越 靠 近 管理 中 心 的 结 点 通信 任务 越 繁忙 ,必然 造成 能 耗 较 大 ,容易 缩短 生命 周期 ,而 
一 旦 这 些 结 点 受 损 ,管理 中 心 将 永久 性 失去 与 WSN 的 联系 。 另 外 ,WSN 在 军事 应 用 中 一 
般 位 于 敌对 方 的 区 域 ,因此 安全 保障 、 自 我 防范 能 力也 必须 强调 。 


WSN 的 结 点 主要 有 两 种 类 型 。 
(1) 传感器 结 点 (Sensor Node)。 传 感 器 结 点 是 数量 最 多 也 是 最 重要 的 结 点 。 网 络 中 


的 部 分 传感器 结 点 还 承担 中 继 转 发 任务 ,可 称 为 转发 结 点 、 中 间 结 点 、 过 渡 结 点 或 中 继 结 点 ， 
转发 结 点 可 由 专门 从 事 数据 转发 的 结 点 来 担任 。 如 图 5. 7 所 示 ,传感器 结 点 主要 由 处 理 单 


元 、 传 感 单元 .通信 单元 、 能 量 单元 等 组 成 ,一 些 特殊 的 结 点 还 可 包括 定位 系统 和 移动 (运动 ) 


(2) 汇聚 结 点 (Sink) 。 汇 聚 结 点 在 WSN 中 具有 唯一 性 ,承担 信息 的 汇集 并 通过 远程 通 


信 手 段 传递 给 管理 中 心 。 汇 聚 结 点 一 般 有 较 高 的 性 能 ,但 也 容易 成 为 系统 的 单 点 故障 点 。 


WSN 的 体系 结构 由 分 层 的 网 络 通信 协议 、 网 络 管理 平台 和 应 用 支撑 平台 三 部 分 组 成 ， 


如 图 5. 8 所 示 ,每 个 部 分 由 不 同 的 层次 或 模块 ( 子 系统 ) 构 成 。 


传感器 结 点 对 目标 区 域 的 有 效 履 盖 状 况 直 接 影响 到 WSN 所 能 提供 的 感知 质量 ,应 当 


针对 被 监测 对 象 及 其 监测 区 域 的 情况 ,对 传感器 结 点 进行 合理 部 署 。 主 要 有 三 种 覆盖 类 型 。 


(1) 区 域 覆 盖 : 目标 区 域内 的 每 一 个 点 (每 个 对 象 ) 至 少 被 一 个 结 点 所 覆盖 ,同时 保证 
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网 络 内 各 结 点 之 间 的 通信 连通 性 。 这 种 方法 往往 容易 造成 覆盖 宛 余 。 可 将 高 密度 部 署 的 结 
点 划分 成 若干 个 互 不 相交 的 结 点 集合 ,每 个 结 点 集合 都 能 维持 对 目标 区 域 的 原始 覆盖 质量 ， 
通过 轮换 各 个 集合 的 工作 时 间 以 节省 能 耗 , 延 长 整个 系统 的 寿命 。 

(2) 点 位 覆盖 : 要 求 对 目标 区 域内 的 有 限 个 离散 点 进行 监测 ,需要 确定 覆盖 这 些 点 的 
最 少 结 点 数 及 结 点 位 置 ,并 保证 结 点 之 间 的 连通 性 。 可 采用 构造 覆盖 点 集 的 最 小 生成 树 等 
商法 。 

(3) 栅栏 覆盖 : 用 于 监测 某 个 移动 目标 是 否 到 达 或 正在 穿越 某 个 区 域 ,由 于 结 点 的 感 
知 能 力 随 距离 增 大 呈 指 数 型 衰减 ,应 通过 对 目标 的 危险 程度 、 移 动 方向 \ 移 动 速度 等 进行 预 
估 , 合 理 部 署 结 点 ,使 目标 穿越 网 络 时 被 检测 到 的 概率 最 大 。 

WSN 数据 链 路 层 MAC 协议 最 为 关注 能 耗 的 最 小 化 ,为 此 可 以 适当 牺牲 带宽 、 吞 吐 量 、 
时 延 等 QoS 性 能 。 

WSN 链 路 接 入 协议 有 固定 分 配 、 竞 争 占用 两 类 。 前 者 有 FDMA、TDMA CDMA 等 三 
种 ,如 DEANA、LMAC、TRAMA、DMAC、M-ALOHA、M-PSMA 等 ; 后 者 一 般 在 广播 式 信 
道上 工作 ,在 信号 交叉 范围 内 各 结 点 共享 信道 资源 ,如 S-MAC、T-MAC、WiseMAC Sift 等 
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图 5.7 WSN 传感器 结 点 系统 结构 示意 
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图 5.8 WSN 体系 结构 
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(1) TDM-FDM 混合 协议 。 由 FDMA 将 频带 分 为 多 个 信道 ,不 同 结 点 可 以 同时 占用 不 
同 的 信道 (并 发 工作 ); TDMA 则 将 一 个 时 段 ( 时 隙 ) 内 的 频带 资源 分 配给 一 个 结 点 使 用 。 
由 于 信道 和 时 隙 需要 预先 规定 ,可 能 限制 结 点 对 空闲 时 隙 的 有 效 利 用 ,降低 了 信道 利用 率 ， 
而 且 TDMA 需要 时 间 同 步 开 销 ,增加 了 能 耗 和 系统 复杂 性 。 

(2) S-MAC 链 路 协议 。S-MAC 协议 考虑 了 WSN 的 三 种 状态 : 休眠 态 、 空 闲 态 和 活动 
态 , 有 针对 性 地 采取 相关 策略 以 降低 能 耗 , 如 结 点 定期 睡眠 、 减 少 空闲 监听 ; 邻近 结 点 组 成 
虚拟 簇 ,自动 同步 睡眠 调度 时 间 ; 用 消息 传递 的 方法 减少 时 延 。 但 休眠 机 制 的 设计 较为 困 
难 , 容 易 造 成 over emitting 现象 , 即 接收 端 处 于 休眠 或 唤醒 后 尚未 准备 好 ,造成 发 送 端的 能 
量 浪 费 。S-MAC 采用 类 似 IEEE 802. 11 的 CSMA/CA 方法 来 避免 冲突 ,包括 物理 载波 侦 
听 、 虚 拟 载波 侦 听 和 RTS-CTS 握手 机 制 ,根据 流量 情况 ,在 能 耗 和 性 能 间 取 得 较 好 的 平衡 。 

2. WSN 路 由 协议 

与 MAC 协议 类 似 , WSN 的 路 由 协议 除了 需要 构建 优化 的 路 由 ,还 应 该 着 眼 于 减少 能 
耗 、 达 到 负载 平衡 ,因为 一 个 结 点 的 能 量 耗 尽 将 意味 着 拓扑 结构 的 改变 ,其 至 还 会 引起 网 络 
被 割裂 成 几 个 部 分 ,使 情况 更 为 恶化 。 

WSN 路 由 协议 算法 很 多 ,根据 技术 思路 大 致 可 分 为 5 类 : 基于 洪 泛 的 路 由 协议 、 基 了 
位 置 ( 地 理 ) 的 路 由 协议 ,分 簇 路 由 协议 、 地 理 分 簇 路 由 协议 和 以 数据 为 中 心 的 路 由 协议 。 

(1) SPIN(Sensor Protocol for Information via Negotiation) 协 议 。 采 用 SPIN 协议 的 
结 点 以 广播 ( 洪 泛 ) 方 式 发 送 路 由 信息 ,接收 消息 的 结 点 再 以 广播 ( 洪 泛 ) 方 式 转发 消息 ,虽然 
与 拓扑 结构 无 关 , 且 控制 机 制 简单 ,但 洪 泛 法 容易 引起 严重 的 元 余 、 冲 突 及 广播 风暴 。 一 种 
改进 的 方式 是 GOSSIPING 方法 , 结 点 发 送 数据 时 不 采用 广播 ,而 是 随机 选择 一 个 相 邻 

SPIN 协议 采用 受 控 的 洪 泛 机 制 , 引 入 元 数据 (meta data) 即 报 文 的 消息 摘要 , 结 点 先 广 
播 元 数据 , 当 遇 到 相应 的 数据 请 求 , 才 有 目的 地 发 送 完整 数据 报 文 。ADYV 消息 用 于 宣布 有 
数据 要 发 送 (包含 元 数据 ), REQ 消息 用 于 请 求 希望 接收 到 的 数据 ,DATA 消息 用 于 封装 
数据 。 

(2) GPSR(Greedy Perimeter Stateless Routing) 协 议 。GPSR 协议 将 报 文 的 转发 方式 
分 为 两 种 模式 : 贪 禁 (greedy) 模 式 和 边缘 (perimeter) 模 式 。 在 贪 禁 模式 中 , 结 点 将 报 文 转 
发 给 地 理 上 更 靠近 目标 结 点 的 邻居 结 点 ,因此 属于 基于 位 置 的 路 由 。 当 贪 禁 机 制 失 败 时 ,就 
进入 边缘 模式 , 结 点 按照 “右手 法 则 ”选择 下 一 跳 结 点 ,就 像 迷宫 游戏 中 的 “右手 贴 墙 ” 秘 诀 ， 
保证 了 报 文 的 正确 转发 。 

GEAR(Geographical and Energy Aware Routing) 协 议 是 对 GPSR 的 改进 ,综合 考虑 距 
离 与 剩余 能 量 的 关系 ,避免 导致 各 结 点 的 负载 不 均衡 性 。GEAR 同样 先 采用 贪 焚 模式 , 失 
败 时 选择 代价 较 小 的 邻居 结 点 作为 下 一 跳 。 如 果 和 迭代 使 用 GEAR 协议 (划分 子 区 域 ) ,还 能 
够 建立 Sink 结 点 到 检测 区 域 多 个 数据 源 结 点 的 节能 路 径 。 

(3) LEACH(Low-Energy Adaptive Clustering Hierarchy) 协 议 。LEACH 属于 分 簇 层 
次 型 路 由 协议 。 网 络 被 动态 划分 为 若干 个 簇 ,得 内 结 点 采用 最 短路 径 算 法 将 数据 发 送 到 簇 
头 , 由 簇 头 对 本 簇 成 员 的 数据 进行 综合 处 理 ,再 发 送 给 Sink 结 点 。 

LEACH 算法 按 轮 次 来 选择 簇 头 结 点 ,每 轮 分 为 设置 (setup) 和 稳定 (steady) 两 阶段 。 
在 设置 阶段 ,网 络 随 机 选 出 部 分 结 点 作为 簇 头 , 簇 头 进行 广播 ,普通 结 点 根据 接收 信号 的 强 
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弱 来 投靠 最 近 的 簇 头 ,与 之 共同 形成 一 个 簇 ; 在 稳定 阶段 , 簇 成 员 把 收集 的 数据 传 给 簇 头 ， 
簇 头 将 收 到 的 数据 与 自身 数据 进行 聚合 处 理 ,通过 一 跳 的 方式 将 结果 发 送 给 Sink 结 点 。 由 
于 每 一 轮 都 重新 随机 选取 簇 头 , 使 能 耗 可 以 均匀 地 分 布 到 所 有 结 点 上 。 

TEEN 是 LEACH 的 改进 算法 ,用 于 事件 驱动 型 的 WSN。TEEN 定义 了 硬 和 软 两 个 
门限 值 ,以 确定 是 否 需 要 发 送 监测 数据 。 当 检测 数据 超过 硬 门限 时 ,就 发 送 数 据 ,并 将 该 监 
测 数 据 设 为 新 的 硬 门限 值 ; 在 接 下 来 的 过 程 中 ,如 果 监 测 数 据 的 变化 幅度 大 于 软 门限 规定 
的 范围 , 结 点 发 送 数据 ,并 将 其 设 定 为 新 的 硬 门 限 值 。 通 过 调节 软 门限 值 的 大 小 可 以 在 监测 
精度 和 能 耗 间 取得 平衡 。 

PEGASIS 是 进一步 改进 的 算法 ,可 以 减少 簇 头 结 点 数量 。 基 本 思想 是 : 把 系统 中 所 有 
结 点 用 贪 禁 算法 构成 一 个 边 长 之 和 接近 最 小 的 链 , 然 后 随机 选择 一 个 结 点 作为 簇 头 ; 簇 头 
向 链 的 两 端 ( 两 个 方向 ) 发 出 收集 数据 请 求 , 数 据 从 链 的 两 个 端点 向 簇 头 流动; 中间 结 点 将 
接收 的 数据 与 自身 数据 进行 聚合 处 理 后 ,把 结果 发 送 到 相 邻 结 点 ,直到 到 达 簇 头 , 由 簇 头 将 
最 终结 果 发 给 Sink 结 点 。 为 了 减 小 单 链 引起 的 时 延 , 可 使 用 多 链 结 构 。 

(4) GAF(Geographical Adaptive Fidelity) 协 议 。GAF 是 一 种 典型 的 地 理 分 簇 路 由 算 
法 ,综合 了 基于 位 置 的 路 由 和 分 簇 路 由 的 优点 。GAEF 把 监测 区 域 划 分 为 多 个 虚拟 的 单元 
格 , 在 每 个 单元 格 中 定期 选举 产生 一 个 簇 头 , 簇 头 保持 活跃 状态 ,其 他 结 点 进入 休眠 状态 。 

GAF 虚拟 单元 格 的 边 长 + 满足 r 三 R/ /5.R 为 结 点 的 通信 半径 ,使 相 邻 单元 格 中 的 任 
意 两 个 结 点 都 能 够 直接 通信 (数学 原理 如 图 5. 9 所 示 ) 。 
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图 5.9 GAF 算 法 虚拟 单元 格 


更 “严酷 ”的 情况 是 考虑 对 角 线 位 置 相 邻 (假定 十 字 相 邻 位 置 的 结 点 都 已 失去 ) ,这 时 两 
个 结 点 间 通 信 的 最 远 距离 应 为 2r /2 , 则 需要 满足 r<R/ /8。 

假定 所 有 结 点 的 通信 半径 尺 均 相同 ,并且 所 有 结 点 都 已 知 整个 监测 区 域 和 自身 所 处 的 
位 置 ,那么 容易 计算 自身 所 处 的 单元 格 。 

GAF 定义 簇 头 选 举 按 以 下 策略 进行 : 结 点 周期 性 地 进入 休眠 (sleep) 状 态 或 工作 
(active) 状 态 ; 休眠 结束 或 工作 结束 进入 一 个 短暂 的 发 现 (discovery) 状 态 ; 结 点 进入 发 现状 
态 时 ,通过 报 文 交换 来 选择 簇 头 ; 选 出 的 簇 头 进入 工作 状态 ,其 他 结 点 进入 休眠 状态 。 

(5) 定向 扩散 (Directed Diffusion) 协 议 。 定 向 扩散 协议 属于 以 数据 为 中 心 的 Ad-hoc 
路 由 协议 。 其 算法 可 描述 为 以 下 三 个 执行 阶段 。 

@ 路 径 建立 阶段 。Sink 结 点 用 一 组 称 为 兴趣 (interest) 的 属性 描述 其 查询 请 求 ,并 向 
全 网 广播 , 逐 级 扩散 ,最 终 遍 历 全 网 ,寻找 所 有 匹配 的 原始 数据 ,同时 建立 一 个 称 为 梯度 
(grad) 的 度量 与 兴趣 发 布 过程 相 关联 。 

@ 数据 传播 阶段 。 如 果 数据 源 结 点 的 数据 与 兴趣 相 匹配 , 则 按照 兴趣 传播 的 反 向 路 
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径 , 以 较 低速 率 将 测试 数据 发 送 给 Sink。 

@ 路 径 增强 阶段 。Sink 接收 到 的 测试 数据 可 能 经 过 多 条 不 同 路 径 ,可 按照 一 定 策略 
(如 最 低 时 延 、 最 短路 径 等 ) 选 择 一 条 路 径 进 行路 径 增 强 ,作为 后 续 数 据 传输 路 径 。 

在 多 数据 源 情况 下 ,数据 转发 存在 交汇 的 中 间 结 点 , 则 由 交汇 结 点 执行 数据 聚合 操作 ， 
以 减少 数据 传输 量 并 降低 能 耗 。 虽 然 定 向 扩散 协议 仅 采 用 “ 随 遇 而 聚 ”思想 ,没有 对 数据 聚 
合 进 行 优化 ,但 对 后 续 的 改进 工作 有 很 大 启发 。 

由 于 中 间 结 点 的 数据 聚合 ,相当 于 在 Sink 和 数据 源 结 点 间 构 成 了 一 棵 组 播 路 由 树 , 因 
此 可 以 把 WSN 的 最 优 聚 合 问题 转化 为 最 优 聚 合 路 由 树 问 题 。 

CNS.、SPT、GIT 是 定向 扩散 协议 的 三 种 变化 。 

CNS 方法 选择 距离 Sink 最 近 的 一 些 数据 源 结 点 为 聚合 点 ,其 他 数据 源 都 把 数据 发 送 
给 这 些 聚 合 点 进行 聚合 处 理 。 

SPT 方法 要 求 每 个 数据 源 都 分 别 沿 着 最 短路 径 传输 数据 给 Sink ,如 果 这 些 最 短路 径 发 
生 交 汇 , 则 交汇 结 点 就 是 聚合 点 。 

GIT 方法 采用 逐步 建立 聚合 树 的 办 法 , 树 的 初始 化 主干 为 Sink 到 距离 最 近 的 数据 源 结 
点 (保证 是 最 短路 径 ) ,此 后 的 每 一 步 中 ,从 剩 下 的 数据 源 结 点 中 选 出 距离 路 由 树 最 近 的 那个 
结 点 连接 到 树 上 ,直到 所 有 结 点 都 连接 到 树 上 。 

(6) 谣传 路 由 (Rumor Routing) 协 议 。 谣 传 路 由 协议 是 对 定向 扩散 路 由 协议 的 改进 ,用 
于 减 小 洪 泛 传 播 和 路 径 增 强 机 制 引 入 的 开销 ,适用 于 数据 传输 量 较 小 的 WSN。 

谣传 路 由 协议 采用 查询 消息 的 单 播 随机 转发 方法 ,在 事件 区 域 中 的 结 点 产生 代理 
(agent) 消 息 ,代理 消息 沿 随机 路 径 向 外 扩散 传播 (就 像 一 则 口 口 相传 的 谣言 ), 同 时 Sink 发 
送 的 查询 消息 也 沿 着 随机 路 径 在 网 络 中 传播 , 当 两 条 路 径 交 叉 在 一 起 ,就 会 形成 一 条 从 
Sink 到 事件 区 域 的 完整 路 径 , 于 是 交叉 结 点 会 沿 着 查询 消息 的 反 向 路 径 将 事件 信息 传递 到 
Sink 结 点 ,如 图 5. 10 所 示 。 但 是 谣传 路 径 不 是 最 优 路 径 ,还 可 能 存在 路 由 环 路 问题 (由 于 
随机 选择 造成 ) 。 


事件 区 域 9 


图 5.10 ” Rumor 路 由 原理 


5.3.4 ZigBee 


ZigBee 是 一 种 Ad-hoc 近 距 离 无 线 通信 技术 ,由 2002 年 11 月 成 立 的 ZigBee 联盟 负责 
开发 ,底层 协议 采用 IEEE 802. 15.4 标 准 ,2005 年 3 月 发 布 了 ZigBee 1.0 规范 ,传输 速率 最 
高 为 250Kb/s。 运 用 ZigBee 构造 的 WSN 是 物 联 网 系统 实现 的 重要 技术 手段 之 一 。 

ZigBee 名 称 来 源 于 蜜蜂 所 跳 的 之 字 舞 (zig-zag) ,蜜蜂 通过 这 种 神秘 的 “舞蹈 ”, 向 同伴 
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传递 花粉 所 在 方位 的 信息 ,仿佛 构建 起 了 蜂 群 的 通信 网 络 。 另 外 ,有 人 将 ZigBee 字 头 谐音 
译 为 紫 蜂 ,与 蓝牙 (BlueTooth) 遥 相 呼 应 ,因为 两 者 都 是 近 距 离 无 线 通信 技术 的 优秀 代表 ， 
虽 略 显 做 作 , 但 不 乏 趣 味 。 

ZigBee 技术 的 特点 是 近 距 离 、 低 复杂 度 、 自 组 织 、 低 功 耗 , 低 速率 、 低 成 本 ,主要 适用 于 
自动 控制 和 远程 控制 领域 ,通信 模块 便于 内 入 各 种 设备 。 

为 了 实现 超 低 功 率 损耗 ,ZigBee 采取 了 一 些 有 效 的 技术 手段 : 减 小 报头 (地 址 和 其 他 控 
制 信息 ) 的 长 度 ; 缩短 收发 任务 周期 ; 采用 休眠 和 断 电 等 功率 管理 机 制 ; 限制 在 30m 通信 
范围 之 内 。 这 样 , ZigBee 网 络 所 需 功 率 一 般 仅 相 当 于 蓝牙 组 网 的 1%, 使 电池 寿命 大 大 
延长 。 

ZigBee 定义 了 两 种 设备 : 完全 功能 设备 ,实现 全 部 协议 栈 , 能 够 与 其 他 各 种 类 型 结 点 互 
连 ; 简化 功能 设备 ,实现 简化 协议 集 , 在 简单 的 拓扑 结构 中 ( 星 型 或 点 到 点 ) 只 能 作为 端 结 
点 。 另 有 一 个 特殊 的 网 络 协调 器 ,承担 新 设备 的 关联 、 信 标的 传输 等 网 络 管理 任务 。 

ZigBee 规范 包括 高 层 协议 栈 和 底层 协议 栈 ( 如 图 5. 11 所 示 ) 。 


应 用 支持 层 (APS) 
通 | | [| 安全 管理 器 ][ 信息 格式 ]| 多 路 复 用 
操 
作 络 应 用 层 NWK) 
架 ||| 安全 || 消息 || 路 由 | 网 络 
管理 器 | 代理 || 管理 器 | 管理 器 
802.15.4LLC 802.15.4 Type 1 LLC 
和 多 辑 链 路 控制 逻辑 链 路 控制 
接 
人 802.15.4 MAC 媒体 访问 控制 
| 三 二 天 于 二 二 = 
吊 802.15.4 PHY (868/925MHz | 2.4GHz) 


图 5.11 ZigBee 协议 栈 


高 层 协议 栈 由 应 用 支持 层 和 网 络 应 用 层 所 组 成 ,是 被 称 为 通用 操作 框架 (General 
Operating Framework,GOF) 的 综合 层 ,维护 设备 描述 、 网 络 地 址 、 事 件 记 录 、 数 据 格式 和 其 
他 信息 。 应 用 层 的 应 用 模型 可 根据 需要 定义 为 支持 特定 的 模式 ,例如 ,照明 应 用 模型 包含 光 
线 亮 度 等 级 表示 、. 光 覆盖 范围 的 传感器 .负载 控制 器 开关 和 调节 器 等 。 网 络 层 主要 负责 网 络 
的 启动 ,关联 .设备 地 址 分 配 、 网 络 安全 .路 由 等 ,可 支持 多 层次 网 络 拓扑 结构 ,最 多 可 达 
64 000 个 结 点 。 

底层 协议 由 物理 层 .MAC/VLLC 所 组 成 ,遵循 IEEE 802. 15.4 协议 ,针对 实时 性 要 求 高 
的 应 用 进行 了 优化 ,使 设备 唤醒 速度 快 、 网 络 连接 时 间 短 。 

ZigBee 网 络 的 设备 接 和 人 物理 信道 由 TDMA 和 CSMA/CA 相 结合 进行 控制 。 如 图 5. 12 所 
示 ,ZigBee 采用 了 超 帧 (superframe) 结 构 , 一 个 超 帧 包括 作为 起 始 和 结束 的 信 标 (beacon 
frame) 和 16 个 时 隙 。 

信 标 由 ZigBee 网 络 中 的 协调 器 在 预先 定义 的 15~252ms 时 间 间 隔 中 传输 ,用 以 实现 设 
备 间 的 识别 和 同步 。 信 标 消 息 碰 撞 的 可 能 性 较 小 ,不 易 受 CSMA/CA 的 影响 。 
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16 个 时 隙 被 划分 为 两 个 接 人 阶段 : 一 个 是 基于 竞争 的 接 入 阶段 ,设备 使 用 CSMA/CA 
算法 来 确定 能 够 传输 数据 的 时 机 ; 另 一 个 是 无 竞争 接 人 阶段 ,设备 使 用 由 网 络 协调 器 分 配 
的 TDMA 保护 时 际 。 预 定 的 信 标 时 间 间 隔 和 保护 传输 时 隙 的 结合 ,可 允许 WSN 结 点 在 休 
眠 期 内 节约 能 量 , 仅 当 有 信 标 登记 或 使 用 保护 传输 时 隙 时 激活 。 

结 点 地 址 可 以 采用 64b 全 地 址 ,也 可 采用 16b 短 地 址 格式 。 

尽管 ZigBee 与 WiFi、BlueTooth 等 都 使 用 2.4GHz 的 ISM 频段 ,但 由 于 一 般 的 ZigBee 
设备 的 任务 周期 很 短 , 所 以 具有 较 好 的 抗 干扰 性 。 即 使 潜在 的 干扰 产生 影响 , 退 避 机 制 、 
ACK 确认 的 重 传 机 制 等 技术 的 运用 ,将 使 ZigBee 设备 可 以 从 发 送 失败 中 恢复 。 另 外 , 低 任务 
周期 . 低 数据 容量 意味 着 ZigBee 设备 不 会 产生 严重 的 又 加 干扰 ,不 容易 对 WiFi、BlueTooth 等 
网 络 产 生 影响 。 


超 帧 N-1 超 帧 N 超 帧 N+1 
AT 本 
15ms by 


> [ma| ee 
回 "] 1|213[4[s | 6[7[s[ 9 lss 加 


下 
ka 基于 竞争 的 接 入 阶段 ”无 竞争 阶段 /可 选 保护 时 阶 


图 5.12 ZigBee 超 帧 结构 示意 
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第 6 章 宽带 网 络 协议 


6.1 宽带 网 络 概述 


宽带 网 络 (Broadband Network ) 是 相对 于 窗 带 网 络 (Narrowband 
Network) 而 言 , 差 别 主要 在 于 通信 带宽 的 高 低 , 但 无 法 一 概 而 论 。 过 去 以 
TI1VE1 速率 为 所 谓 的 分 界线 ,如 今 小 于 10Mby/s 已 经 很 难 称 为 宽带 。 

根据 ISDN 定义 : B 信道 速率 为 64Kb/s, 用 于 传输 数据 ; D 信道 速率 为 
16Kb/s 或 64Kb/s, 主 要 用 于 传输 信 令 。 基 本 速率 接口 (Basic Rate 
Interface,BRI) 为 2B 十 D= 二 144Kb/s。T1/El 是 主 速 率 接口 (Primary Rate 
Interface,PRI) ,El1( 欧 洲 标 准 ) 为 30B 十 D 十 64K= 二 2. 048Mb/s,T1l( 美 国标 
准 ) 为 23B 十 D 十 8K=1.544Mb/s。 

宽带 网 络 通常 指 WAN 和 MAN, 因 为 远程 高 速 通 信和 具有 较 大 难度 ,需要 
采用 特定 的 网 络 协议 和 组 网 技术 。 为 了 避免 流量 瓶颈 效应 、 有 利于 网 络 互 连 
和 扩展 ,宽带 城 域 网 具有 层次 化 构造 的 特点 。 

(1) 骨干 网 (backbone) 为 核心 网 络 ,具有 最 大 的 带宽 、 最 好 的 性 能 。 

(2) 汇聚 网 (convergency network) 用 于 聚合 下 层 网 络 的 流量 ,并 通过 上 骨 
干 网 进行 转发 ,同时 使 接 入 点 的 部 署 更 加 广泛 .合理 。 

(3) 接 人 网 (Caccess network) 是 最 下 层 ( 外 层 ) 的 网 络 ,带宽 较 小 ,以 向 用 
户 提供 接 和 人 服务 为 目的 ,如 ISP 网 络 。 

虽然 宽带 网 络 未 必 能 与 Internet 划 等 号 ,然而 , 宽带 网 络 主要 是 为 
Internet 或 下 一 代 Internet(Internet 2/NGI) 服务 ,用 于 Internet 主干 网 络 、 
子 网 互 连 以 及 网 络 接 和 人 ( 即 上 网 )。 宽 带 网 络 能 够 提供 高 速 数据 传输 服务 ,使 
网 络 吞 吐 能 力 得 到 很 大 提高 ,为 需要 占用 较 大 带宽 的 多 媒体 网 络 业务 的 开展 
奠定 了 坚实 基础 ,促进 了 Internet 上 各 类 网 络 应 用 的 繁荣 。 

如 表 6. 1 所 示 ,宽带 网 络 类 型 众多 ,以 分 组 交换 技术 为 主 。 绝 大 部 分 分 
组 网 络 由 物理 层 和 数据 链 路 层 组 成 ,也 有 少量 网 络 拥 有 网 络 层 协议 (如 X. 25 
分 组 交换 网 )。 分 组 网 络 组 网 的 主要 目的 是 建立 低层 通信 网 ,为 IP 等 网 络 层 


协议 提供 虚拟 传输 链 路 。 数 据 链 路 层 通过 虚 电路 连接 ,提供 流量 控制 .差错 检测 ,故障 恢复 
等 功能 。 由 于 数据 链 路 层 的 作用 ,物理 信道 的 特性 被 很 好 地 掩蔽 起 来 ,使 上 层 协议 可 以 不 必 
关心 信号 传输 细节 ,放心 使 用 分 组 数据 的 可 靠 传输 。 

所 谓 数据 的 可 靠 ( 无 差错 ) 传 输 有 两 个 层面 的 含义 : 基本 的 可 靠 性 是 指 接收 方 收 到 的 数 
据 一 定 是 正确 的 ,数据 的 任何 差错 都 会 被 检测 出 来 ,但 错误 数据 可 能 被 丢弃 ,所 以 接收 方 不 
一 定 收 到 所 有 数据 ; 完全 的 可 靠 性 是 指 所 有 数据 都 被 准确 无 误 地 接收 ,出 错 的 数据 都 被 协 
议 机 制 (如 重 发) 恢复 了 。 不 同 的 协议 可 能 在 不 同 的 层面 上 对 传输 可 靠 性 进行 保障 。 

表 6.1 宽带 网 络 技术 分 布 简 表 


网 络 LAN MAN/WAN 
速率 /(b/8》 有 线 无 线 有 线 无 线 专线 拨号 
CDPD PSTN 
NX64K 
SDLC 国 PSDN/X. 25 GPRS/1x ISDN 
BlueTooth = 
TUEI HDLC FR Microwave DDN ADSL 
3G xDSL Cable-M 
Ethernet 
10M B3G 
Novell 
WiMax 
FastEthernet WLAN 
Ee LMDS ATM 
FDDI (WiFiD) 
100M MPLS MMDS Sonet 
Token Ring 
Satellite SDH 
Token Bus 
Optical 
GigaEthernet WDM 


表 中 部 分 缩写 含义 : 

FDDI 一 一 Fiber Distributed Data Interface, 光 纤 分 布 式 数据 接口 (网 ) 
CDPD 一 一 Cellular Digital Packet Data, 蜂 窝 式 数字 分 组 数据 网 
Sonet 一 Synchronous Optical Network ,同步 光纤 网 络 

SDH- 一 Synchronous Digital Hierarchy ,同步 数字 体系 (网 ) 
WDM-- 一 Wavelength Division Multiplexing , 波 分 复 用 

PSTN 一 一 Public Switch Telephone Network, 公 共 电话 网 


6.2 快速 分 组 交换 协议 


65251 FR 


帧 中 继 (Frame Relay ,FR) 属 于 快速 分 组 交换 技术 (FPS), 由 ITU-T Q. 922 标准 定义 ， 
又 称 LAPF(Link Access Procedures to Frame Mode Bearer Service) ,包括 数据 链 路 核心 协 
议 (DL-CORE) 和 数据 链 路 控制 协议 (DL-CONTROL ) 两 个 子 集 。FR 是 对 X. 25 技术 的 改 
良 , 用 于 适应 高 速 信道 高 速 网 络 的 需要 。 

FR 技术 是 面向 连接 的 ,但 淡化 了 交换 设备 上 的 层次 概念 ,将 数据 链 路 层 和 网 络 层 进行 
了 融合 。 融 合 的 目的 一 方面 减少 了 协议 处 理 时间 和 层次 之 间 的 接口 处 理 时 间 , 另 一 方面 通 
过 对 融合 功能 的 分 析 , 针 对 高 可 靠 信道 简化 元 余 项 。 
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被 FR 精简 的 协议 机 制 包括 : 不 进行 帧 重 发 等 完全 差错 控制 ,只 提供 有 限 差错 检测 , 进 
一 步 的 恢复 操作 交 给 上 层 协 议 完成 ; 不 对 数据 帧 进行 确认 ; 不 具备 流量 控制 能 力 ; 呼叫 控 
制 与 用 户 数 据 信 道 分 离 , 通 过 专门 的 信 令 完成 ,相当 于 FR 核心 部 分 不 提供 连接 建立 功能 ， 
一 般 可 认为 是 PVC 方式 。 

如 图 6. 1 所 示 ,FR 帧 头 就 是 HDLC 协议 的 地 址 字段 (A) 和 控制 字段 (C) 的 组 合 , 一 般 
占 2B, 可 扩展 到 4B, 用 EA 字段 进行 指示 ,EA 二 0 表示 下 一 个 字 节 仍然 为 帧 头 ,EA==1 表示 
帧 头 结束 。 


b= 0 1 
0 Flag=01111110 
1|EA=0| CR DLCI(low) 
?|EA=1| DE |BECN[FECN| DLCI(high) 
3 
DATA 
(管理 帧 或 高 层 协议 ) 

n-4 

ws FCS 

1-2 

nl Flag=01111110 

图 6.1 FR 帧 格式 


命令 /响应 (C/R) 是 由 上 层 实体 指明 本 帧 的 属性 。 丢 弃 指 示 (DE) 置 位 时 表明 本 帧 在 网 
络 出 现 拥塞 时 可 以 优先 丢弃 。 信 息 字 段 (DATA) 可 以 承载 可 变 长 度 的 用 户 数 据 , 包 括 FR 
管理 协议 帧 \IP 等 。 

最 重要 的 字段 为 数据 链 路 连接 标识 符 (Data Link Connection Identifier,DLCD ,两 部 分 
DLCI 合 起 来 共 占 10b, 用 于 标识 使 用 的 数据 链 路 。DLCI 通常 为 静态 指定 和 手工 配置 。FR 
交换 机 收 到 帧 头 部 分 的 DLCI 后 ,可 立即 进行 交换 处 理 ( 查 询 转发 表 等 ), 并 迅速 转 和 人 发送， 
据 此 可 实现 高 效率 的 切入 式 转 发 。 

由 于 FR 不 提供 帧 的 重 发 恢复 ,也 不 支持 窗口 式 流 量 控制 机 制 , 只 要 信道 允许 ,发 送 方 
可 以 连续 发 送 数据 ,这 固然 提高 了 通信 效率 ,但 对 FR 网 络 造成 很 大 压力 ,因为 网 络 需要 汇 
集 来 自 各 个 发 送 方 的 数据 流 ,容易 引起 拥塞 。 为 此 ,FR 设计 了 一 种 网 络 拥塞 控制 机 制 , 协 
助 交 换 机 和 终端 对 流量 进行 调整 ,以 避免 拥塞 后 大 量 数据 丢失 的 情况 。FR 在 帧 头 中 设计 
了 两 个 二 进 制 位 : 正 向 拥塞 通知 (FECN) 和 反 向 拥塞 通知 (BECN) , 均 由 网 络 交换 设备 置 
位 ,分 别 通知 接收 方 与 本 帧 同方 向 和 反方 向 的 传输 发 生 拥 塞 现 象 (或 趋势 ) ,并 可 能 继续 
拥塞 。 

采用 这 一 机 制 , 当 FR 交换 机 发 现 拥塞 或 接近 拥塞 时 ,用 FECN 通知 接收 方 可 能 已 经 发 
生 数 据 丢失 ,更 重要 的 是 用 BECN 通知 上 游 的 交换 机 或 终端 ,应 减 小 发 送 流量 ,防止 拥塞 程 
度 的 加 剧 。 

FR 具有 按 需 分 配 带宽 的 特点 。 用 户 付费 购买 承诺 信息 速率 , 当 突 发 性 数据 发 生 时 ,在 
网 络 允许 的 范围 内 ,可 以 使 用 更 高 的 峰值 速率 。 

FR 可 配合 DDN、ATM 网 络 向 用 户 提 供 2Mb/s 以 内 的 中 低速 接 入 服务 。 尤 其 ATM 
技术 的 光纤 信道 ,接口 设备 高 速 带宽 的 费用 十 分 昂贵 ,限制 了 用 户 使 用 ,可 利用 FR 与 
ATM 技术 的 相似 性 ,提供 以 FR 方式 接 入 ATM 主干 网 的 服务 ,这 样 更 为 经 济 和 有 效 。 


6.2.2 ATM 


异步 传输 模式 (Asynchronous Transfer Mode, ATM) 是 一 种 数据 链 路 层 协议 ,目的 是 
提供 支持 QoS 的 高 速 数据 交换 。 

如 图 6.2 所 示 ,ATM 的 协议 参考 模型 分 为 三 个 层次 。 第 一 层次 提供 信道 驱动 和 输入 
输出 ,相当 于 OSI 的 物理 层 ; 第 二 层次 为 核心 的 ATM 协议 层 ,与 提供 上 层 协 议 适 配 的 第 三 
层次 AAL 一 起 ,共同 构成 OSI 的 数据 链 路 层 。 


| ATM 适 配 层 ____ CS 子 层 | 相当 于 OSI 
OsI 第 一 层 (AAL 层 ) SAR 子 层 第 2.5 层 
-I 
数据 链 路 层 
ATM 人 协议 层 
器 本 [ -man 


图 6.2 ATM 协议 参考 模型 


ATM 多 采用 高 可 靠 的 光纤 传输 ,支持 多 种 带宽 ,能 适应 不 同业 务 需 要 ,可 以 为 IP 等 多 
种 网 络 层 协议 提供 高 质量 的 数据 交换 功能 ,如 IPoA(IP over ATM)。 

一 项 优秀 的 技术 未 必 能 带 来 广泛 的 应 用 。 受 制 于 ATM 设备 (包括 网 卡 、 交 换 机 、 光 纤 
和 光 传 输 器 件 等 ) 相 对 高 昂 的 成 本 以 及 维护 管理 的 复杂 性 ,在 与 Ethernet 技术 的 抗衡 中 ， 
ATM 节 节 败退 ,应 用 逐步 退缩 到 比较 有 限 的 领域 。 尤 其 是 Ethernet 进入 1Gb/s、10Gb/s 
乃至 1Tb/s 的 超 高 带宽 阶段 ,ATM 又 失去 了 在 速率 方面 的 优势 ,竞争 力 被 进一步 削弱 了 。 

ATM 物理 层 由 PMD 和 ST 两 个 子 层 构成 。 

物理 媒体 相关 (Physical Medium Dependent,PMD) 子 层 负责 传送 和 接收 比特 流 ,包括 
线路 传输 编码 和 解码 .比特 定时 .光电 转 换 等 。 对 于 双 绞 线 、 同 轴 电 缆 、 单 模 或 多 模 光 纤 ， 
ATM 配备 相应 的 PMD 子 层 。 

传输 会 聚 (Transmission Convergence,TC) 子 层 实 现 比 特 流 和 信 元 流 的 转换 ,包括 速率 
适 配 ( 空 闲 信 元 插入 )、 信 元 定 界 与 同步 ,传输 帧 的 产生 与 恢复 等 。TC 子 层 的 适 配 使 ATM 
协议 与 传输 媒体 的 特性 无 关 。 典 型 的 TC 子 层 就 是 Sonet/SDH。 

SDH 采用 同步 传输 模式 ,传送 的 比特 流 被 划分 为 一 个 个 固定 时 间 长 度 的 TDM 帧 (就 
是 有 严格 时 钟 同步 的 时 间 片 ) ,例如 OC-3 速率 标准 的 STM-1 帧 。 但 是 ,ATM 信 元 可 按 需 
插入 到 SDH 帧 中 ,每 个 用 户 发 送 的 信 元 在 帧 内 的 相对 位 置 并 不 要 求 固定 ,如 果 一 个 用 户 需 
要 发 送 多 个 信 元 ,可 连续 不 断 地 发 送 , 只 要 SDH 帧 有 空位 ,就 可 插入 这 些 信 元 。 这 属于 异 
步 时 分 复 用 方式 , 正 是 ATM 名 称 中 “异步 ”二 字 的 含义 。 

如 图 6. 3 所 示 为 ATM 信 元 插入 STM-1 帧 的 方法 。STM-1 帧 共有 2430B(19 440b)， 
被 组 成 9 行 X270B 的 结构 。 每 行 的 前 9B 为 传输 开销 和 指针 (指示 跨 区 域 边界 的 信 元 的 位 
置 ), 其 余 9X 261B 为 有 效 载 荷 ( 净 负荷 ) 空 间 , 可 以 首尾 相 接 依次 插入 属于 不 同 用 户 的 
ATM 信 元 。 

由 于 OC-3/STS-3 速率 每 秒 发 送 8000 个 STM-1 帧 , 即 : 8000frame/sX 2430B/frame XX 
8b/B 二 155. 520Mby/s ,简写 为 155Mby/s ,是 ATM 最 常见 的 速率 标准 。ATM 另外 较 常 用 的 


110 
2 版 ) 


270B 
i 261B | 
9BL_- 53B 49B 
第 ! 行 用 户 A 用 户 A 图 用户 F 图 用 户 5 图 用 户 Dp 区域， 
第 2 行 用 PC 回 用 5A 周 用 5p 周 用 5A 加 用 户 B 才 边界 的 信 元 
第 3 行 冒 用 户 A 羡 用 户 A 出 用 户 E 
= AT™M 
第 4 “加 琴 4 一 僻 
和 5 于 
第 6 行 总 
第 7 行 加 | 
第 8 行 
STM-1 帧 
第 9 行 py | | 2430B 
开销 和 指针 


图 6.3 ATM 信 元 与 STM-1 帧 示意 


速率 标准 有 OC-1/STS-1 的 51.840Mb/s、OC-12/STS-12 的 622. 080Mb/s。 

ATM 协议 数据 单元 是 固定 53B 长 度 的 信 元 (cell) ,如 图 6.4 所 示 ,数据 字段 为 48B, 信 
头 (5B) 分 为 两 种 ,一 种 用 于 用 户 与 网 络 接口 (UserNetwork Interface, UNT), 另 一 种 用 于 结 
点 之 间 , 即 网 络 与 网 络 接口 (Network-Network Interface,NNI) ,两 种 信 元 在 头 两 个 字 节 上 
有 所 不 同 。 

通用 流量 控制 (General Flow Control,GFC) 为 4b 字段 ,用 以 在 共享 信道 上 进行 接 人 流 
量 控制 (类 似 MAC 层 功 能 ) ,在 点 对 点 线路 上 固定 为 0。 

虚 通 道 标识 (Virtual Path Identifier, VPI) 和 虚 通 路 标识 (Virtual Channel Identifier， 
VCI) 字 段 用 于 标识 逻辑 连接 、 实 现 路 由 选择 。 如 图 6. 5 所 示 , 一 条 传输 链 路 可 以 由 多 个 虚 
通道 (VP) 组 成 ,每 个 VP 则 可 以 包含 多 个 虚 通 路 (VC)。UNI 有 8b 的 VPI(256 个 ),NNI 
因为 承担 更 多 的 通道 交换 任务 的 关系 ,需要 更 多 通道 标识 空间 ,所 以 有 12b 的 VPI(4096 
个 ) ,两 者 均 有 16b 的 VCI, 即 每 VP 可 分 配 65 536 个 VCI。 有 些 VPI/VCI 组 合 已 定义 为 指 
定 用 途 ,例如 0/5 为 默认 信 令 连接 。 


UNI NNI 
0 orc VPI VPI 
1 [vei VGI VEI VGI 
VCI VCI 
3 Ne er PE ATM 传 输 链 路 
和 和 
Data 
: (48B) 
52 
图 6.4 ATM 信 元 格式 图 6.5 ATM 的 VP 和 VC 示意 


载荷 类 型 (Payload Type,PT) 为 3b 字段 。 第 一 个 bit ==0 表示 载荷 是 用 户 数 据 ,否则 
就 是 信 令 数据 ; 第 二 个 bits 二 1 表示 网 络 拥塞 ,由 ATM 交换 机 负责 填写 ,用 于 流量 工程 ; 第 


三 个 bits 二 1 表示 载荷 携带 的 是 最 后 一 个 分 片 数据 。 

信 元 丢弃 优先 级 (Cell Loss Priority,CLP) 为 1b 字段 ( 即 信 元 格式 图 中 的 P 字 段 ) ,用 于 
ATM 网 络 QoS 管理 中 的 流量 控制 机 制 。 当 网 络 负担 很 重 即将 出 现 拥塞 时 ,ATM 交换 机 
优先 考虑 丢弃 CLP 二 1 的 信 元 ,以 缓解 网 络 压力 。 除 了 端 系统 可 指定 CLP 值 ,交换 机 也 可 
将 违反 通信 量 合约 的 信 元 CLP 值 置 1, 称 为 打 标 记 (tagging)。 

首部 差错 控制 (Header Error Control, HEC) 为 8b 字段 ,对 首部 前 4B 进行 CRC 校 验 。 
HEC 是 由 物理 层 产 生 和 进行 检验 操作 的 。 

ATM 通常 采用 PVC 静态 配置 方式 ,但 也 可 通过 ATM 的 信 令 协议 动态 维护 逻辑 连接 。 
ATM 的 信 令 协议 由 ATM 论坛 的 UNI 3.1 和 UNI 4. 0、ITU-T Q. 2930、Q. 2931 和 
Q. 2110 定义 ,有 较 大 的 复杂 性 ,实际 应 用 很 少 。 

图 6.6 所 示 为 ATM 建立 连接 、 传 输 数据 和 拆除 连接 的 过 程 。 连 接 建 立 和 释放 使 用 信 
令 消 息 (Signaling Message) , 信 元 中 CLP=1, 可 以 由 一 个 或 多 个 信 元 来 传送 ; 传输 数据 采 
用 普通 的 信 元 ,CLP=0。 信 令 消 息 的 内 容 包括 消息 类 型 .长度 .QoS 参数 .对 该 连接 指派 的 
VPI/VCI 等 。 


ee | | LD 小 
上 === 
call proceeding i 
call proceeding 人 St 
i Ee call proceeding 
建立 1 注 :分 段 应 答 
i 双向 确认 ! | connect —— 
EIS CoML connectack | 
connect ee 
| connect ack 
i es 一 | 
数据 中 个 未 9 
传输 F 
Le CE 
释放 release complete _ 上-------- release 
连接 一 一 一 一 | a release 
release complete _ ___-] 
EN release complete 
1 1 1 1 


图 6.6 ATM 逻辑 连接 流程 


ATM 适 配 层 (ATM Adaptation Layer,AAL) 包 含 CS 和 SAR 两 个 子 层 ,用 于 增强 
ATM 所 提供 的 功能 ,向 上 层 提供 各 种 服务 。 

会 聚 子 层 (Convergence Sublayer,CS) 可 面向 不 同 的 应 用 ,向 上 层 协 议 提供 服务 访问 点 
(CSAP) ,使 不 同 的 AAL 用 户 (不同 协议 ,不同 进程 ) 可 调用 ATM 的 数据 传输 功能 。CS 的 协 
议 数据 单元 为 CS-PDU 。 

拆 装 子 层 (Segmentation And Reassembly,SAR) 负 责 将 CS-PDU 拆 分 成 48B 单元 , 交 
付 给 ATM 协议 进行 传输 ; 在 接收 时 ,SAR 则 负责 将 48B 有 效 载荷 装配 成 CS-PDU。 拆 分 
或 拼装 的 最 后 一 个 单元 的 信 元 PT 字段 中 bits =1( 即 PT=0 x* 1) ,其 他 单元 的 信 元 PT 字段 
中 bits = 二 0( 即 PT=0 *0)。 

AAL 只 存在 于 ATM 端 系统 中 。 为 支撑 不 同 应 用 ,AAL 定义 了 5 种 类 别 (class) ,命名 
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为 AAL1I~AAL5, 其 中 简单 而 高 效 的 AAL5 应 用 最 广 。AAL5 的 CS-PDU 由 用 户 数据 (加 
上 报 尾 后 填充 为 48 的 整数 倍 ) 和 8B 的 控制 报 尾 组 成 。 报 尾 包括 : 2B 保留 字段 ; 2B 长 度 字 
段 ,指明 用 户 数据 的 有 效 长 度 ( 以 B 为 单位 ); 4B 的 CRC 校 验 字段 。 

为 了 便于 通信 量 管理 ,ATM 服务 按照 比特 率 的 特点 划分 为 5 个 种 类 (Category): 衡 定 
比特 率 (Constant Bit Rate,CBR)、 实 时 可 变 比特 率 (real-time Variable BR ,rtrVBR) , 非 实 
时 可 变 比特 率 (non-real-time VBR,nrt-VBR) ,不 指明 比特 率 (Unspecified BR,UBR) 和 可 
用 比特 率 (Available BR ,ABR ) 。 

ATM 网 络 由 ATM 交换 机 (ATM switch) 构 成 。 ATM 交换 机 的 主要 功能 是 实现 
ATM 协议 (包括 信 令 协议 ) ,并 完成 高 效率 的 信 元 交换 。 实 际 上 后 者 才 是 最 核心 .最 不 可 或 
缺 的 职能 ,因为 很 多 ATM 交换 机 仅 支持 PVC 静态 设置 。 为 此 ,ATM 交换 机 还 需要 支持 管 
理 功能 ,用 于 配置 .诊断 和 维护 。 

ATM 交换 机 的 关键 部 件 是 交换 机 构 (switching fabric) ,交换 机 构 维护 一 张 端口 和 
VPI/VCI 转换 表 。 如 图 6.7 所 示 ,交换 机 构 根 据 逻 辑 连接 确定 端口 之 间 的 连接 关系 ,来 自 
一 个 端口 的 信 元 ,根据 VPI/VCI 检索 转换 表 , 可 以 确定 连接 到 另 一 个 转发 端口 ,同时 替换 成 
该 端口 下 新 的 VPI/VCI 值 。 


计算 机 主办 EE 
下 本 绰 品 VPVVC[ 串 可 VPVVGI 
时 4 [187 || 3 [6671 
| J 
He 
站- 
上 一 
交换 机 E 
[66/71] 
Ee 计算 机 
CC 
T \ 
B 转 换 表 D 转 换 表 
端口 [VPWVCI[ 端 口 [lyPlVa 加: VPWVCI| 端 口 [VPVVCI 
2 | 748 | 4 | 23/6 41336 | 1 187 


图 6.7 ATM 交换 原理 


仅 对 VPI 进行 识别 和 交换 的 特殊 ATM 交换 机 被 称 为 交叉 连接 交换 机 (cross-connect 


switch)。 


6.2.3 MPLS 


多 协议 标记 交换 (Multi-protocol Label Switching, MPLS) 是 一 种 在 开放 的 通信 网 上 提 
供 数 据 高 速 .高 效 传输 的 协议 技术 (RFC 3031/3032)。 

受到 ATM 技术 的 启发 ,MPLS 着 眼 于 在 无 连接 的 网 络 中 引入 连接 模式 ,改善 网 络 层 路 
由 技术 的 性 能 ,提高 网 络 的 可 伸缩 性 ,并 在 路 由 服务 方面 提供 更 大 的 灵活 性 ,在 不 改变 网 络 
转发 方案 的 情况 下 ,允许 添加 新 的 路 由 ,从 而 减少 网 络 的 复杂 性 ,能 够 兼容 现 有 各 种 主流 网 
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络 技术 。 

在 早期 的 邮政 体系 中 ,信件 和 包 误 的 传递 是 依靠 查看 “ 收 件 人 地 址 "来 进行 的 ,从 一 个 省 
(国家 ) 发 往 另 一 个 省 (国家 ) 、 从 一 个 城市 传递 到 另 一 个 城市 ,直到 递送 给 收 件 人 。 书 写 收 件 
人 地 址 使 用 自然 语言 ,例如 中 文 、 英 文 .日 文 .韩文 …… 邮局 的 工作 量 很 大 。 邮 政 编码 (zip 
code) 的 出现 极 大 地 提高 了 邮政 系统 的 工作 效率 ,因为 只 需 识 别 固定 位 置 上 的 全 国 唯 一 的 6 
位 数字 (例如 200433 就 是 复旦 大 学 所 属 区 域 的 邮政 编码 ) ,就 能 轻而易举 地 把 信件 准确 地 转 
交 给 目的 地 邮局 。 邮 政 编码 就 好 比 给 信件 贴 上 了 一 张 标准 化 的 、 便 于 识别 和 操作 的 数字 标 
签 ,使 信件 的 中 间 传 递 过 程 与 地 址 书写 所 用 的 语言 无 关 ,可 实现 自动 化 分 拣 。 

MPLS 协议 的 技术 关键 之 一 是 引入 了 标记 (label) 的 概念 。 标 记 是 一 种 简短 的 .易于 处 
理 的 .不 包含 拓扑 信息 、 只 具有 局 部 意义 的 信息 内 容 , 通 常 可 以 用 索引 直接 引用 。 标 记 只 具 
有 局 部 意义 是 为 了 便于 分 配 。 

从 MPLS 标记 的 含义 ,可 以 联想 到 ATM 技术 中 的 VPI/VCI。 其 实 ,VPI/VCI 就 是 一 
种 标记 ,因此 ,ATM 实际 上 也 可 称 为 一 种 标记 交换 协议 。 与 之 类 似 的 标记 还 有 FR 的 
DLCI、X. 25 的 LCN 及 TDM 的 时 隙 等 。 

MPLS 体系 结构 描述 了 实现 标记 交换 的 机 制 , 这 种 技术 兼 有 第 二 层 交 换 的 分 组 转发 技 
术 和 第 三 层 路 由 技术 的 优点 。 与 第 二 层 (FR、ATM 等 ) 相 似 , MPLS 给 报 文 分 配 标 记 , 以 便 
报 文 能 够 在 基于 分 组 或 信 元 的 网 络 中 传输 。 数 据 单元 携带 的 长 度 固 定 的 短小 标记 告诉 传输 
路 径 上 的 交换 结 点 如 何 处 理 和 转发 数据 。 

MPLS 的 这 种 特性 相当 于 对 各 种 报 文 进行 统一 封装 (如 图 6. 8 所 示 ), 并 且 据 此 进行 数 
据 交 换 , 在 满足 QoS 要 求 的 同时 ,屏蔽 了 不 同 协议 的 不 同 技术 特性 ; 更 重要 的 是 ,使 原来 不 
支持 QoS 的 协议 也 具备 了 QoS 支持 能 力 和 快速 分 组 交换 能 力 。 


换 与 转发 


(优先 级 控制 、 带 宽 管理 、 安 全 隧道 …) 


MPLS 封 装 


协议 1 协议 2 协议 3 


图 6.8 MPLS 封装 多 协议 示意 


MPLS 体系 结构 被 分 为 两 个 独立 的 组 件 : 转发 组 件 ( 数 据 层面 ) 和 控制 组 件 ( 控 制 层 
面 )。 转 发 组 件 使 用 MPLS 标记 交换 机 维护 的 标记 转发 数据 库 , 根 据 分 组 携带 的 标记 执行 
数据 的 转发 任务 ; 控制 组 件 则 负责 在 一 组 互 连 的 MPLS 标记 交换 机 之 间 创 建 和 维护 标记 转 
发 信息 。MPLS 技术 最 初 是 用 来 提高 网 络 设 备 的 转发 速度 而 提出 的 一 个 协议 ,由 于 其 在 提 
高 网 络 服务 质量 方面 的 良好 表现 ,也 成 为 QoS 技术 的 重要 标准 。 

从 另 一 个 角度 来 看 , MPLS 是 一 种 面向 连接 的 协议 ,只 是 不 提供 数据 可 靠 传输 功能 。 
MPLS 的 标记 及 其 实现 的 功能 也 是 PVC 的 表现 形式 之 一 。MPLS 提供 的 逻辑 连接 可 以 是 
端 到 端 , 也 可 以 是 点 到 点 ,但 最 终 形成 一 条 端 到 端的 连接 。 
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如 图 6.9 所 示 ,MPLS 网 络 由 两 类 路 由 式 交 换 机 构成 。 


6.9 MPLS 网 络 组 成 示意 


在 网 络 边缘 的 结 点 称 为 标记 边缘 路 由 器 (Label Edge Router,LER) ,而 网 络 的 核心 结 
点 为 标记 交换 路 由 器 (Label Switching Router,LSR ) 或 标记 交换 机 。LER 结 点 在 MPLS 网 
络 中 完成 IP 报 文 的 进入 和 退出 过 程 ,LSR 结 点 在 网 络 中 提供 高 速 交换 功能 。 

在 MPLS 结 点 之 间 的 路 径 叫做 标记 交换 路 径 (Label Switching Path,LSP) 。 一 条 LSP 
可 以 看 做 一 条 贯穿 网 络 的 报 文 隧道 。 

在 LER 中 ,MPLS 使 用 转发 等 价 类 (Forwarding Equivalence Class,FEC) 将 输入 的 数 
据 流 映射 到 一 条 LSP 上 。 换 句 话说 ,FEC 就 是 定义 了 一 组 沿 着 同一 条 路 径 、 有 相同 处 理 过 
程 的 数据 包 。 这 就 意味 着 所 有 FEC 相同 的 报 文 都 可 以 作为 一 个 流 东 (stream) 映 射 到 同一 
个 标记 中 。 

FEC 可 以 是 目的 地 址 与 IP 地 址 前 缀 匹配 的 报 文 (相当 于 普通 的 路 由 器 ), 可 以 是 所 有 
源 地 址 和 目的 地 址 都 相同 的 报 文 ,也 可 以 是 具有 指定 的 QoS 需求 的 报 文 。FEC 可 用 于 网 络 
流量 的 负载 均衡 ,为 不 同 的 FEC 选择 不 同 的 转发 路 径 , 相 比 普通 的 路 由 协议 只 能 选择 单一 
路 由 (而 且 一 旦 路 由 收敛 路 径 就 固定 下 来 ) ,MPLS 显得 更 灵活 ` 流 量 管理 更 细致 。 

LER 和 LSR 以 及 LSR 之 间 通 过 标记 分 配 协 议 (Label Distribution Protocol, LDP) 通 
信 ,LDP 负责 与 路 由 协议 (如 OSPF、IS-IS、.EIGRP、BGP 等 ) 协 同 工 作 ,为 要 建立 LSP 的 边 
界 和 核心 设备 分 配 标记 。 除 LDP 外 ,IETF 还 支持 限制 路 由 的 标记 分 配 协 议 (Constraint 
Route Label Distribution Protocol,CR-LDP) 和 扩展 资源 预 留 协 议 (RSVP Extension)。 

MPLS 网 络 的 数据 交换 过 程 如 图 6. 10 所 示 。 

首先 ,进入 的 MPLS 数据 报 文 经 过 处 理 后 ,被 赋予 标记 。 大 量 的 分 析 、 定 级 、 过 滤 等 密 
集 型 的 处 理 都 在 入 口 边界 LER 上 完成 。 这 一 步 称 为 MPLS 的 网 络 边 界 行为 。 

其 次 ,在 MPLS 网 络 的 内 部 ,MPLS 的 LSR 解读 标记 ,检索 标记 信息 库 , 用 相应 的 出 口 
(egress) 标 记 对 换 (swapping) 入 口 (ingress) 标 记 , 转 发 数据 报 文 ,因此 所 有 的 处 理 操作 仅 是 
根据 携带 的 标记 来 转发 数据 报 文 而 已 。 这 一 过 程 称 为 MPLS 的 网 络 核心 行为 。 

最 后 ,在 出 口 边界 LER 上 ,标记 被 从 数据 报 文 上 剥离 ,数据 报 文 被 转发 到 最 终 的 目 
的 地 。 


route={A,E,G,D} 
1 
A 
#354 
ER — 
MPLS 帧 
#354 蝶 #72 
标记 对 换 表 #19 |~ 
B F CC 
LER LSR LER 


图 6.10 MPLS 标记 对 换 和 转发 示意 


因为 所 有 的 标记 处 理 都 在 边界 LER 上 进行 ,内 部 LSR 仅仅 做 标记 交换 ,数据 报 文 不 必 
在 每 一 跳 上 都 进行 处 理 , 这 是 相 比 其 他 传统 协议 的 主要 区 别 和 优势 ,也 是 加 大 网 络 设备 数据 
春 吐 量 的 关键 点 。 

建立 LSP 的 方式 主要 有 两 种 。 

(1) 逐 跳 路 由 (Hop-by-Hop Route)。 一 个 Hop-by-Hop 的 LSP 是 所 有 从 源 站 点 到 一 
个 特定 目的 站 点 的 IP 报 文 路 径 树 的 一 部 分 。 对 于 这 些 LSP,MPLS 模仿 IP 转发 数据 报 文 
的 面向 目的 地 的 方式 ,建立 了 一 组 路 径 树 。 

从 传统 的 IP 路 由 来 看 ,每 一 台 沿途 的 路 由 器 都 要 检查 报 文 的 目的 地 址 ,并 且 选 择 一 条 
合适 的 路 径 将 数据 包 发 送出 去 。 而 MPLS 则 不 然 ,数据 包 虽然 也 沿 着 IP 路 由 所 选择 的 同 
一 条 路 径 进 行 传送 ,但 是 IP 数据 报头 在 整 条 LSP 路 径 上 从 始 至 终 都 没有 被 检查 。 

在 每 一 个 结 点 上 ,MPLS 生成 的 树 是 逐 级 为 下 一 跳 分 配 标记 ,而 且 是 通过 与 对 等 层 交 换 
标记 而 生成 的 。 交 换 标记 是 通过 LDP 的 请 求 以 及 对 应 的 消息 完成 。 

(2) 显 式 路 由 (Explicit Route) 。MPLS 最 主要 的 一 个 优点 就 是 可 以 利用 流量 设计 “ 引 
导 ” 数 据 包 , 例 如 避免 拥塞 或 者 满足 业务 的 QoS 等 。MPLS 允许 网 络 的 运行 人 员 在 源 结 点 
就 确定 一 条 显 式 路 由 的 LSP(CER-LSP) ,以 规定 数据 报 文 将 选择 的 路 径 。 

不 像 Hop-by-Hop 的 LSP,ER-LSP 不 会 形成 IP 树 。 取 而 代 之 ,ER-LSP 从 源 端 到 目的 
端 建立 一 条 直接 的 端 到 端的 路 径 , 如 图 6. 10 所 示 。MPLS 将 显 式 路 由 嵌入 到 标签 分 发 信 令 
协议 (如 CR-LDP) 的 信息 中 ,从 而 建立 这 条 路 径 。 

MPLS 协议 报头 格式 如 图 6. 11 所 示 。 

MPLS header 32b(4B) 一 -一 一 


| Label value | ExP | SI 
20b 3b lb ‘8b 


EXP: CoS Mapping 
S:Stackingb 


栈 顶 栈 底 TTP: Timeto live 


L2header | MPLS header | … | MPLS header | ap | 
MPLS 标 记 栈 上 


MPLS 帧 


图 6.11 MPLS 报头 格式 
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MPLS 报头 中 最 核心 部 分 为 20b 的 标记 (label) 字 段 ( 有 时 也 称 为 标签 ) ,类似 FR 的 
PVC 模式 下 的 DLCI.ATM 协议 的 VPNVVCN。 

EXP 为 3b 的 实验 (experimental) 字 段 ,可 用 于 CoS 设 定 ,使 转发 行为 管理 的 细 粒 度 
更 高 。 

TTL(time-to-live) 为 1B 的 生存 时 间 字 段 ( 类 似 IP 报 文 ), 每 经 过 一 个 结 点 TTL 被 减 
1, 用 以 防止 报 文 被 错误 地 无 限制 转发 。 

S 为 1 比特 的 堆栈 标识 , 当 MPLS 出 现 嵌 套 时 (如 图 6. 12 所 示 ), 新 的 MPLS 报头 被 压 
到 堆栈 的 栈 顶 ,后 进 先 出 ,其 中 栈 底 ( 或 无 嵌 套 ) 报 头 的 S 位 置 0, 否 则 就 置 1 表示 还 有 更 多 
的 内 套 报头 。 


大 到 一 HA 大 约 一 HB[HAE 一 Ee > 图 一 加 


图 6.12 ”MPLS 嵌 套 


可 见 ,MPLS 协议 非常 简单 , 却 十 分 高 效 , 可 以 封装 不 同 协议 数据 单元 ,达到 标记 交换 的 
目的 。 

再 以 物流 行业 为 例 ,MPLS 好 比 快递 员 ,将 客户 需要 传递 的 东西 打包 封装 在 快递 袋 内 ， 
不 论 是 文件 ,玩具 、 电 器 还 是 化 妆 品 ,都 以 一 致 的 服务 方式 送 货 上 门 ,还 能 根据 需要 进行 急 件 
急 送 。 

MPLS 标记 的 分 配 与 分 发 由 LDP 等 信 令 协议 完成 。LDP 与 传统 路 由 算法 相 结 合 , 进 
行 分 配 标记 ,发 布 FEC 和 标记 绑 定 信息 、 建 立 和 维护 标记 对 换 表 和 标记 交换 路 径 等 。 

MPLS 标记 分 发 方式 有 两 种 : 上 游 按 需 请 求 方式 .下 游 按 需 分 配方 式 。 上 游 按 需 请 求 
方式 是 指 上 游 LSR 为 某 一 个 FEC 向 下 游 LSR 请 求 分 配 标 记 , 下 游 LSR 可 视 具体 情况 给 上 
游 LSR 分 配 标记 ; 下 游 按 需 分 配 标记 方式 则 不 需要 上 游 请 求 标 记 , 直 接 将 标记 绑 定 消息 后 
发 送 给 上 游 。 

MPLS 标记 分 配 过 程 主要 包含 两 种 消息 : 标记 请 求 消息 .标记 映射 消息 ( 即 标记 分 配 消 
息 )。 图 6. 13 所 示 为 标记 请 求 和 标记 映射 (分 配 ) 的 时 序 。 

MPLS-TE( 流 量 工程 ) 是 指 为 了 平衡 网 络 设备 的 流量 ,根据 数据 流量 进行 显 式 路 由 选 
择 的 过 程 , 用 于 提高 网 络 运作 效率 和 可 靠 性 ,优化 网 络 资源 利用 和 流量 性 能 。MPLS-TE 通 
过 将 流量 导入 指定 的 路 径 来 实现 其 目标 。 

MPLS-TE 的 应 用 包括 以 下 几 方 面 内 容 : 流量 统计 分 析 \` 流 量 优化 .网 络 保护 和 提供 
QoS 保障 。 特 别 是 在 流量 优化 方面 ,MPLS-TE 显得 主动 性 很 强 。 通 过 流量 分 析 获 得 网 络 
流量 的 分 布 及 其 状况 ,在 不 同 的 结 点 间 建 立 不 同 的 显 式 路 径 LSP, 引 导 流 量 按照 规划 的 路 
径 进 行 传播 ,将 原本 负担 较 重 、 较 为 拥堵 的 链 路 的 流量 分 担 到 相对 空闲 的 设备 和 链 路 上 。 
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在 网 络 保护 方面 ,MPLS-TE 提供 一 种 高 性 能 的 自 愈 恢复 机 制 。Sonet/SDH 恢复 时 间 
在 50ms 量 级 ,IP 路 由 恢复 时 间 达 到 几 十 秒 , MPLS 恢复 时 间 可 以 接近 Sonet/SDH 水 平 , 因 
为 MPLS-TE 采用 了 类 似 的 链 路 保护 机 制 , 称 为 快速 重新 路 由 (Fast Re-route) ,为 每 个 链 路 
和 结 点 提供 迁 回路 由 ,一 旦 结 点 或 链 路 发 生 故障 ,立即 由 上 游 结 点 检测 到 并 切换 到 备用 路 径 
上 。 实 际 应 用 中 可 以 对 网 络 的 关键 部 分 进行 保护 ,以 减少 资源 的 元 余 度 和 计算 的 复杂 性 。 

MPLS 还 可 以 提供 有 效 的 VPN 服务 。 由 于 MPLS 的 转发 是 基于 标记 的 ,并 不 依赖 IP 
地 址 ,可 解决 VPN 内 专用 地 址 复 用 问题 ,同时 MPLS 链 路 的 保密 性 更 强 。 如 果 MPLS 选择 
参与 耻 路由, 能够 进一步 提高 部 署 的 灵活 性 。 


上 游 下 游 
et rn | Ee 人 (Te | 
标记 请 求 标记 请 求 标记 请 求 
输出 输入 输出 输入 输出 输入 
三 | 端口 端口 ”9 | 端口 端口 吕 | 端口 端口 | 过 
ol on 只 nn 
中 四 四 四 
[2 (0) [ss (| | 

和 标 ia 顺 射 称 记 项 肌 标 ia 跑 身 


时 序 : (1) 一 (2) 一 … 一 (6) 


图 6.13 ” MPLS 标记 按 需 请 求 过 程 


6.3 多 媒体 应 用 协议 


6.3.1. NTP 


多 媒体 应 用 系统 中 经 常 需要 保持 各 通信 结 点 的 同步 。 为 了 避免 采用 较为 昂贵 的 卫星 定 
位 系统 对 时 机 制 或 更 为 复杂 的 时 间 同 步 网 络 , 可 使 用 专门 的 协议 ,使 每 个 结 点 的 时 钟 与 世界 
协调 时 间 (Universal Time Coordinated, UTC) 同步 。 

网 络 时 间 协 议 (Network Time Protocol, NTP) 是 网 络 上 用 于 计算 机 对 时 的 常用 技术 ， 
最 新 为 V4 版 本 (RFC 2030) ,用 UDP 传输 报 文 (端口 号 123)。 

NTP 协议 具有 C/S、 对 称 (symmetric) 和 广播 /组 播 (broadcast/multicast) 三 种 工作 方 
式 , 对 时 精确 度 在 局 域 网 环境 下 可 达 10ns 一 10ms, 在 Internet 上 为 100 一 1000ms。 

由 于 网 络 传输 存在 时 延 ,因此 NTP 需要 通过 测定 时 间 偏 移 量 来 调整 准确 时 间 。 计 算 
机 C 与 时 间 服 务 器 S 之 间 的 对 时 协议 如 下 (如 图 6. 14 所 示 ) 。 


计算 机 C Intemet 时 间 服 务 器 S 


(11+0) 下 

入 

太 2 计算 机 处 理 时 间 
< 


图 6.14 NTP 消息 交换 过 程 
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(1) C 发 送 NTP 消息 给 S, 消 息 带 有 C 的 时 间 戳 Th 。 
(2) S 收 到 NTP 消息 ,加 上 S 的 时 间 戳 Tz 。 
(3) S 发 送 NTP 消息 ,再 加 上 离开 时 C 的 时 间 截 T: 。 
(4) 当 NTP 消息 回 到 C 时 ,C 记录 此 时 本 地 时 间 T, 。 
设 标准 时 间 与 计算 机 差 为 0, 网络 传输 报 文 单程 时 间 需 1, 假定 来 回报 文 所 需 时 间 相同 。 
根据 NTP 携带 的 时 间 蕉 , 列 出 如 下 关系 方程 组 : 
人 二 (Ti 十 0) 十 4 


Ti 一 (Ts 一 0) 十 和 


解 得 
(二 
网 本 
3 
(em ob ee 
9 3 


则 本 地 正确 时 间 三 现在 时 间 十 0。 

可 见 关键 的 0 与 报 文 传输 时 间 A 和 时 间 服 务 器 处 理 时 间 s 均 无 关 。 但 是 ,由 于 报 文 每 次 穿 
越 网 络 所 需 时 间 并 不 确定 ,因此 ,来 回报 文 时 间 相 等 的 假定 是 造成 时 间 误 差 的 主要 原因 。 

除 NTP 外 ,还 有 简单 网 络 时 间 协 议 (SNTP) ,精确 时 间 协 议 (Presicion Time Protocol， 
PTP) 和 通用 定时 接口 (Universal Timing Interface,UTI) 等 网 络 时 钟 同步 (对 时 ) 技 术 。 


6.3.2 RTP 


实时 传送 协议 (Real-time Transport Protocol, RTP) 为 宽带 网 络 实时 应 用 (如 流 媒 体 ) 
提供 端 到 端的 数据 传送 ,但 不 提供 任何 QoS 保障 。RTP 可 以 视 为 应 用 层 的 一 个 子 层 ,工作 
在 UDP 之 上 ,于 1996 年 由 RFC 1889/1890 定义 ,最 新 版 本 为 RFC 3550。 

RTP 报 文 只 包含 RTP 数据 ,而 控制 由 配套 的 RTCP 提供 。RTP 选择 1025 一 65 535 之 
间 一 个 未 使 用 的 偶数 端口 号 ,而 同一 次 会 话 的 RTCP 就 使 用 下 一 个 奇数 的 端口 号 。5004 和 
5005 分 别 为 RTP 和 RTCP 的 默认 端口 号 。RTP 报 文 格式 如 图 6. 15 所 示 。 


b 一 01234 8 9 16 31 


CSRC 
(可 选 /=0-15 个 ) 
承载 数据 可 变 
(payload) 长 度 


图 6.15 ”RTP 报 文 格式 


版 本 号 字段 为 2b, 版 本 2 值 为 2; 填充 字段 为 1b, 若 了 二 1, 表 示 出 于 加 密 等 需要 , 数 
据 部 分 有 若干 填充 字 节 ,数据 部 分 的 最 后 一 个 字 节 用 来 表示 填充 的 字 节 数 ; 扩展 X 字段 为 
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1b, 若 X==1, 表 示 此 RTP 首部 后 面 还 有 扩展 首部 ( 较 少 使 用 ); 参与 源 数 snum 字段 为 4b， 
指出 后 面 CSRC 的 个 数 ; 标记 M 字段 为 1b,M 王 1 表示 该 RTP 报 文具 有 特殊 意义 ,例如 在 
传送 视频 流 时 用 来 表示 每 一 帧 的 开始 。 

载荷 类 型 (payload type) 字 段 占 7b, 指 出 RTP 数据 所 属 的 应 用 格式 , 收 到 RTP 报 文 的 
应 用 层 就 是 根据 该 字段 指出 的 类 型 进行 相应 处 理 。 如 对 于 音频 载荷 ,mw 律 PCM(0)、 
GSM(3)、LPC(7) .A 律 PCM(8)、G. 722(9)、G. 728(15) 等 ， 对 于 视频 载荷 ,JPEG (26)、 
H. 261(31) .MPEG1(32) .MPEG2(33) 等 。 

序号 (sequence) 字 段 为 16b, 对 每 个 RTP 报 文 进行 编号 ,每 发 出 一 个 后 序号 加 1, 与 媒 
体 流 无 关 。 在 一 次 RTP 会 话 开始 时 ,初始 序号 可 以 随机 选择 。 接 收 端 依据 序号 对 RTP 报 
文 进行 排序 ,并 发 现 报 文 丢失 现象 。 

时 间 惟 (time stamp) 字 段 为 32b, 反 映 了 RTP 报 文中 的 承载 数据 的 第 一 个 字 节 的 采样 
时 刻 。 在 一 次 会 话 开始 时 ,时 间 崔 初始 值 是 随机 选取 的 。 即 使 没有 信和 号 数据 发 送 , 时 间 戳 的 
数值 也 要 随 着 时 间 流 动 而 不 断 增加 ,使 接收 端 可 以 据 此 同步 媒体 流 的 播放 。 在 RTP 中 没有 
规定 时 间 戳 的 粒度 (granularity) ,而 是 取决 于 有 效 载荷 的 类 型 ,因此 RTP 时 间 鹤 又 称 为 媒 
体 时 间 惟 ,以 强调 时 间 苓 与 信号 类 型 的 从 属 关 系 。 例 如 ,对 于 8kHz 的 PCM 采样 话音 信号 ， 
若 每 隔 20ms 构成 一 个 数据 块 , 则 一 个 数据 块 中 应 包含 160 个 样本 (0. 02X8K 王 160) , 则 发 
送 端 每 发 送 一 个 RTP 报 文 时 间 蕉 的 值 就 增加 160。 所 以 ,时 间 截 字段 记录 的 不 一 定 是 几 分 
几 秒 的 内 容 。 

同步 源 标识 符 (Synchronous Source Identifier, SSRC) 和 参与 源 标识 符 (Contributing 
Source Identifier,CSRC) 各 为 32b, 用 以 表示 RTP 流 的 来 源 。 

SSRC 与 IP 地 址 无 关 , 在 新 的 RTP 流 开始 时 随机 产生 ,可 以 有 多 个 不 同 的 流 同 时 复 用 
UDP 进行 传送 ,例如 用 不 同 角度 的 摄像 机 拍摄 同一 场景 所 产生 的 多 个 RTP 流 。 接 收 端 
UDP 将 不 同 的 RTP 流 送 到 各 自 的 终点 ,分 别 进行 处 理 。 若 发 生 两 个 不 同 的 RTP 流 选择 了 
同一 个 SSRC 的 情况 (虽然 概率 很 小 ), 则 两 个 源 均 应 重新 选择 另 一 个 SSRC, 如 图 6. 16 
所 示 。 

CSRC 是 可 选 的 ,最 多 可 有 15 个 。SSRC 用 以 标识 来 源 于 不 同 地 点 的 RTP 流 。 在 组 播 
环境 中 ,可 以 用 中 间 的 转发 站 ( 称 为 混合 站 Mixer) 将 多 个 发 往 同一 地 点 的 RTP 流 混合 成 一 
个 流 ,以 节省 通信 资源 .在 目的 地 站 点 根据 CSRC 的 数值 将 不 同 的 RTP 流 分 开 。 

实时 传送 控制 协议 (RTP Control Protocol, RTCP) 是 配合 RTP 执行 控制 操作 的 协议 ， 
是 RTP 不 可 或 缺 的 组 成 部 分 (RFC 1889/1990)。 

RTP 的 主要 功能 是 QoS 的 监视 与 反馈 、 媒 体 间 的 同步 (视频 和 声音 之 间 ) 组 播 组 中 成 
员 的 标识 。RTCP 报 文 也 用 UDP 传输 ,但 RTCP 不 负责 媒体 流 的 封装 。 由 于 RTCP 报 文 
很 短 ,可 以 将 多 个 RTCP 报 文 组 合 承载 在 一 个 UDP 数据 报 中 。 

RTCP 报 文 周期 性 地 发 送 ,携带 发 送 端 和 接收 端 对 QoS 的 统计 信息 报告 ,如 已 发 送 的 
报 文 数字 节 数 、 报 文 丢失 率 、 报 文 到 达 时 间 间 隔 的 抖动 等 。 

RTCP 有 5 种 报 文 类 型 ,使 用 同样 的 报 文 格式 。 

(1) 源 点 描述 报 文 SDES( 类 型 200) 对 会 话 中 的 参加 者 进行 描述 .包含 参加 者 的 规范 名 
(Canonical Name,CNAME) ,一 般 是 参加 者 的 E-mail 地 址 字符 串 。 

(2) 结束 报 文 BYE( 类 型 203) 用 以 关闭 一 个 媒体 流 。 


119 


120 
pe 2 版 ) 


ssrc=3210 2 
time=7800| _ 流 2 。 


右 声 道 IP1 @IP1—IP3 DIPI—IP3 
seq=1236 seq=1234 
采样 IP1—IP3||@IP1—IP3| |ssre=567 ||@IPI--IP3||ssrc-567 | 流 1 
编码 沪 seq=1238 ||seq=1237 | ltime=249 | |seq=1235 |ltime=89 |- 


RTP ssrc=3210 ||ssrc=3210 


FP C= time=8120 | |time=7960 
外 
编码 站 


IP2—IP4| | OIP2—IP4 

seq=25 seq=24 

摄像 机 IP2 ssrc=666 ssrc=666 
A HA A ltime=711 |ltime=511 


srl ly es 


DIP2~IP4| 
seq=23 
ssrc=666 
time=311 


IP2—IP4 
seq=22 
ssrc=666 流 3 
time=1l1 | 


seq=23 seq=24 seq=1236 ||seq=1237 ||seq=24 seq=25 seq=1238 

ssre=666 ||ssrc=666 ||ssre=567 ||ssre=3210 ||ssre=666 ||ssrc=666 ssre=3210 
time=311 ||time=511 ||time=249 ||time=7960||time=511 ||time=711 time=8120 
csrc=64 csrc=64 csrc=63 csrc=63 csrc=64 csrc=64 csrc=63 


DIP2—IP6| |@IP2—IP6| | IP1—IP6|| OIP1—IP6| | @IP2—IP6| |@IP2 一 IP6 > 


i pp 
(DIP1—IP6| |@IP2—IP6| | DIP1—IP6 
seq=1235 ||seq=22 seq=1234 
ssrc=3210 ||ssrc=666 ||ssre=567 
ltime=7800 | |time=111 | |time=89 
csrc=63 csrc=64 csrc=63 


图 6.16 RTP 传输 媒体 流 和 报 文 示例 


(3) 特定 应 用 报 文 APP( 类 型 204) 使 应 用 程序 能 够 定义 新 的 报 文 类 型 。 

(4) 发 送 端 报告 报 文 SR( 类 型 200) 用 以 发 送 端 周期 性 地 向 所 有 接收 端 进行 报告 , 报 文 
发 送 为 组 播 方式 。 发 送 端 每 发 送 一 个 RTP 流 , 就 要 发 送 一 个 SR。SR 报 文 的 主要 内 容 包 
括 : 该 RTP 流 的 SSRC; 该 RTP 流 中 最 新 产生 的 RTP 报 文 的 时 间 鹤 和 绝对 时 钟 时 间 ( 墙 
上 时 钟 时 间 即 可 ,也 即 服务 器 系统 时 间 ); 该 RTP 流 包 含 的 报 文 数 ; 该 RTP 流 包含 的 字 节 
数 。 绝 对 时 钟 时 间 用 于 视频 和 声音 的 同步 ,因为 属于 不 同 的 流 , 需 要 同一 个 参考 时 钟 。 

(5) 接收 端 报告 报 文 RR( 类 型 201) 有 两 个 目的 : 第 一 ,可 以 使 所 有 接收 端 和 发 送 端 了 
解 当 前 网 络 的 状态 ; 第 二 ,可 以 使 所 有 发 送 RTCP 报 文 的 站 点 自 适应 地 调整 字 节 的 发 送 
RTCP 报 文 的 速率 ,使 得 用 于 控制 的 RTCP 报 文 不 要 过 多 地 占用 RTP 报 文 的 带宽 资源 。 
RR 由 接收 端 周 期 性 地 以 组 播 方 式 向 所 有 成 员 发 送 。 接 收 端 每 增加 一 个 RTP 流 ( 一 次 会 话 
可 能 包含 多 个 RTP 流 ) 就 产生 一 个 RR。RR 报 文 的 内 容 包 括 : 所 收 到 的 RTP 流 的 SSRC; 
该 RTP 流 的 报 文 丢失 率 (可 用 于 发 送 端 流 控 ); 在 该 RTP 流 中 的 最 后 一 个 RTP 报 文 的 序 
号 ; 报 文 到 达 时 间 间 隔 的 抖动 等 。 一 般 要 求 RTCP 报 文 的 通信 量 不 能 超过 网 络 中 数据 报 文 
通信 量 的 5% ,而 RR 的 通信 量 应 小 于 所 有 RTCP 通信 量 的 75% 。 

实时 流 式 协议 (Real-Time Streaming Protocol, RTSP) 是 配合 RTP 工作 的 另 一 种 控制 
协议 ,由 RFC 2326 定义 。 

RTSP 以 C/S 方 式 工作 ,用 于 多 媒体 播放 控制 。 用 户 通 过 RTSP 提供 的 服务 ,在 播放 
器 客户 端 软 件 中 播放 流 媒体 时 ,可 以 进行 各 种 时 移 操作 ,如 暂停 /继续 \ 后 退 \、 快 进 等 ,就 像 控 
制 录 像 机 一 样 ,因此 ,RTSP 又 被 形象 地 称 做 互联 网 录像 机 遥控 协议 。 
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如 图 6.17 所 示 ,RTSP 与 RTP 和 RTCP 各 司 其 职 ,RTP 用 来 封装 和 传输 媒体 流 数 据 ， 
RTCP 用 来 保障 QoS, 而 RTSP 用 来 协调 客户 机 和 服务 器 ,能够 实现 媒体 流 的 传送 控制 。 因 
此 RTCP 和 RTSP 可 视 为 RTP 的 信 令 协议 ,在 物理 信道 上 是 带 内 的 ,在 协议 处 理 上 是 带 外 
的 。RTSP 的 语法 与 HTTP 相似 ,RTSP 控制 报 文 既 可 以 在 TCP 上 传送 ,也 可 在 UDP 上 


Client Server 
信道 
流 媒体 下 RTP over UDP 流 媒体 
播放 器 RTCPover UDP 服务 器 
RTSP over TCP/UDP 


图 6.17 RTSP 与 RTP 和 RTCP 的 关系 


6.3.3 SIP 


会 话 发 起 协议 (Session Initiation Protocol,SIP) 是 一 种 应 用 层 控制 协议 (RFC 2543) , 属 
于 纯 文 本 型 的 信 令 协议 ,采用 HTTP 的 首部 ,编码 规则 等 许多 内 容 , 可 以 管理 不 同 接 入 网 络 
上 的 会 话 , 包 括 终端 设备 之 间 任 何 类 型 的 通信 ,如 网 络 电话 、 视 频 会 议 . 即 时 消息 处 理 或 协作 
会 议 。SIP 对 业务 不 作 定义 或 限制 ,传输 .QoS 、. 计 费 .安全 性 等 问题 都 由 基本 核心 网 络 和 其 
他 协议 处 理 。 

如 图 6. 18 所 示 ,SIP 系统 有 两 种 构件 : 用 户 代 理 (user agent) 和 网 络 服务 器 (network 
server)。 用 户 代 理由 两 个 部 分 组 成 : 用 户 代 理 客户 机 (user agent client) 和 用 户 代 理 服务 器 
(user agent server) ,前 者 用 以 发 起 呼叫 ,后 者 用 以 接收 呼叫 。 网 络 服务 器 分 为 代理 服务 器 
(proxy server) 和 重 定向 服务 器 (redirect server) ,前 者 接收 来 自主 叫 用 户 的 呼叫 请 求 ,并 转 
发 给 下 一 跳 代 理 服务 器 ,最 后 将 呼叫 请 求 转 给 被 叫 用 户 , 后 者 通过 响应 (如 果 需 要 的 话 ) 告 诉 
客户 机 下 一 跳 代理 服务 器 的 地 址 ,由 客户 按 此 地 址 向 下 一 跳 代理 服务 器 重新 发 送 呼 叫 请 求 。 
SIP 还 通过 会 话 描述 协议 (Session Description Protocol,SDP) 维 护 电话 会 议 参加 者 的 动态 
加 入 或 退出 。 
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( 主 叫 用 户 ) 


用 户 代理 
客户 机 
服务 器 
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图 6.18 SIP 技术 组 网 结构 


SIP 和 MGCP、H. 323、H. 248 都 是 VoIP 应 用 协议 ,分 别 是 电信 网 (标准 化 组 织 ITU) 
与 互联 网 (标准 化 组 织 IETF) 两 大 阵营 推出 的 标准 。H. 323 和 H. 248 试图 把 IP 电话 当做 
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众所周知 的 传统 电话 ,只 不 过 传输 方式 发 生 了 改变 ,由 电路 交换 变 成 了 分 组 交换 ; 而 SIP 和 
MGCP 的 目标 是 将 IP 电话 业务 变 成 互联 网 上 的 一 个 成 功 的 应 用 。 

ITU-T H. 323 采用 基于 ASN.1 和 压缩 编码 规则 的 二 进 制 方法 表示 其 消息 ,制定 了 在 无 
QoS 保证 的 分 组 网 络 (Packet-Based Networks,PBN) 上 的 多 媒体 通信 系统 标准 。 如 图 6.19 所 
示 ,HH. 323( 阴 影 部 分 ) 是 一 个 框架 性 标准 ,涉及 终端 设备 视频、 音频 和 数据 传输 、 通 信和 控制 、 
网 络 接口 方面 的 内 容 , 还 包括 组 成 多 点 会 议 的 多 点 控制 单元 (Multi-point Control Unit， 
MCU) 多 点 控制 器 (Multi-point Controller, MC)、 多 点 处 理 器 (Multi-point Processor， 
MP) 、 网 关 (Gateway,GW) 以 及 网 守 (GateKeeper,GK) 等 设备 (如 图 6. 20 所 示 )。 


音频 视频 应 用 信 令 和 控制 
音频 视频 于 2250 | H.225:0 H.245 
编 解 码 | 编 解码 | RTCP 注册 呼叫 控制 
RTP 信 令 信 令 信 令 
UDP TCP 
IP 


图 6.19 H. 323 协议 结构 


图 6.20 H. 323 技术 组 网 结构 


传统 的 电信 网 络 可 提供 高 质量 的 通信 服务 ,是 与 其 可 运营 的 思想 .技术 体制 和 系统 架构 
分 不 开 的 。 电 信和 网 络 以 语音 业务 为 中 心 ,而 不 像 计算 机 网 络 那样 以 数据 为 中 心 。 那 么 ,在 新 
一 代 IP 网 络 上 理应 继承 这 一 优势 ,为 多 媒体 应 用 的 开展 创造 良好 的 条 件 。 

与 电信 和 网络 的 核心 设备 电话 交换 机 (Telephone Exchanger) 一 样 ,新 一 代 IP 网 络 上 的 
VolP(Voice over IP) 业 务 采用 软 交换 机 (Soft Switch ) 。 

软 交 换 机 是 基于 分 组 网 络 .利用 程控 软件 提供 呼叫 控制 功能 的 设备 和 系统 。 但 软 交 换 
机 本 身 并 没有 整体 组 网 技术 机 制 和 网 络 体 系 架构 ,而 需要 依赖 分 组 网 络 (IP、ATM 等 ) 和 相 
关 设 备 来 实现 。 

软 交 换 机 通过 媒体 控制 协议 技术 可 以 实现 呼叫 控制 与 媒体 传输 相 分 离 的 思想 。 所 以 ， 
软 交 换 机 也 称 为 呼叫 代理 器 (Calling Agent,CA) 或 媒体 网 关 控 制 器 (Media Gateway 
Controller,MGC) 。 软 交换 机 概念 的 提出 不 仅 使 基于 IP 的 语音 业务 功能 和 与 传统 PSTN 
网 的 交换 机 功能 可 以 完全 兼容 ,还 能 够 从 根本 上 确保 IP 电话 技术 能 够 完全 替代 传统 电信 网 
络 电话 服务 。 

软 交 换 机 的 技术 基础 是 媒体 网 关 控 制 协议 (Media Gateway Control Protocol, MGCP)， 


ITU-T 则 定义 为 H. 248 标准 。MGCP/H. 248 又 称 器 件 控制 协议 ,是 一 种 具有 主 从 关系 的 
控制 协议 。 被 控制 方 一 般 为 非 智能 的 简单 器 件 或 设备 ,一 切 状态 、 事 件 的 发 生 和 变化 都 必须 
上 报 主 控 设备 。 所 以 ,媒体 控制 协议 不 应 被 视 为 呼叫 信 令 ,只 能 用 于 端点 (包括 用 户 端点 和 
中 继 端 点 ) 的 控制 。 软 交换 机 的 局 间 呼 叫 信 令 协议 为 H. 323/SIP。 

下 一 代 网 络 (Next Generation Network, NGN) 是 对 传统 电信 网 络 的 升级 换代 ,采用 
IPv6 为 互 连 平台 ,完全 进化 成 为 计算 机 网 络 。 但 NGN 技术 体系 架构 上 却 存 在 两 种 不 同 的 
策略 和 思路 。 

一 种 思路 强调 智能 的 端点 和 边缘 ,简单 的 网 络 设施 。 因 为 端 到 端 多 媒体 融合 业务 的 驱 
动力 来 源 于 端点 和 边缘 ,下 一 代 网 络 业 务 的 创新 和 发 展 正 依赖 于 此 。 互 联网 的 成 功 也 证 明 
了 这 种 思路 对 多 媒体 业务 的 重要 性 。H. 323 和 SIP 及 其 相关 的 网 守 和 代理 服务 器 正 是 这 
一 技术 体制 的 体现 。 

另 一 种 思路 主张 简单 的 端点 和 边缘 ,智能 的 网 络 设施 。 因 为 只 有 单纯 统一 的 端点 和 边 
缘 设 备 , 才 有 利于 规模 性 地 经 营 管理 和 控制 。 传 统 PSTN 所 提供 的 语音 业务 已 验证 了 这 种 
思路 在 实际 应 用 中 的 有 效 性 。MGCP/H. 248 协议 及 软 交换 机 正 是 体现 这 一 技术 体制 的 实 
现 手段 。 

然而 ,NGN 实际 上 婚 需 要 智能 端点 业务 的 技术 特性 ,又 需要 实现 规模 化 经 营 管理 。 难 
点 在 于 如 何 综合 考虑 多 种 技术 以 达到 技术 和 和 运营 的 平衡 。 实 际 上 ,相互 间 的 融合 才 是 建设 
NGN 及 其 业务 的 最 佳 途径 。 


6.4 宽带 网 络 接 人 协议 


6.4.1 PPP 


点 对 点 协议 (Point-to-Point Protocol,PPP) 是 一 种 面向 字符 型 的 数据 链 路 层 协议 (RFC 
1661 一 1663) ,用 于 在 异步 串 行 通信 线路 (也 适用 于 同步 串 行 线路 ) 上 传输 分 组 型 协议 (如 
IP) ,所 以 在 拨号 上 网 业务 中 得 到 广泛 应 用 。PPP 与 SLIP 协议 在 工作 原理 和 应 用 目标 上 都 
很 类 似 , 但 相 比 SLIP 的 简单 性 ,PPP 具备 更 强 的 功能 .更 好 的 性 能 ,包括 差错 检测 .协商 配 
置 和 鉴别 协议 、 分 配 临 时 IP 地 址 .支持 更 多 网 络 层 协议 等 。 

如 图 6. 21 所 示 ,PPP 可 把 IP 报 文 封装 到 串 行 线路 上 进行 传输 ,还 包括 一 个 链 路 控制 协 
议 (Link Control Protocol, LCP) .一 套 网 络 控制 协议 (Network Control Protocol,NCP) 。 
LCP 定义 了 11 种 类 型 的 帧 ,用 以 在 数据 链 路 层 上 建立 、 配 置 和 测试 连接 关系 ,并 提供 给 通 
信和 双方 协商 选项 的 方法 ; NCP 为 网 络 层 的 一 个 子 层 , 用 于 支持 不 同 的 网 络 层 协议 的 参数 配 
置 ,例如 对 IP 而 言 ,NCP 为 IPCP ,可 用 于 配置 IP 地 址 。 

PPP 和 LAP/HDLC 帧 格式 相似 ,如 图 6. 22 所 示 , 但 PPP 是 面向 字符 的 ,而 LAP/ 
HDLC 是 面向 比特 的 。 

2 字 节 的 协议 字段 表示 PPP 帧 数据 字段 中 的 报 文 类 型 ,如 0x0021(IP) .0xc021(LCP)、 
0x8021(NCP) .0xc023(PAP) 0xc223(CHAP)。 其 中 PAP 和 CHAP 为 安全 认证 ( 鉴 权 ) 
协议 。 
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网 络 层 协议 
网 络 层 
LCP || PAP | | CHAP 
数据 链 路 层 I 
PPP 封 装 
和民 [四 多 /8 
图 6.21 PPP 协 议 栈 
Ox0021 IP 报 文 
值 Ox7e Oxff 0x03 } ! Ox7e 
[rTalec | 数据 Frcs | F | 
字 节 数 1 1 1 2 <1500 2 l 


图 6.22 PPP 帧 格式 


由 于 PPP 为 字符 型 协议 ,以 0x7e 为 帧 同步 码 (flag) ,为 了 避免 数据 字段 出 现 的 0x7e 编 
码 引起 误解 ,PPP 也 采用 类 似 SLIP 的 报 文 透 明 传输 方法 , 转 义 字符 为 0x7d, 转 换 规则 为 : 
在 数据 字段 中 ,0x7e->0x7d-0x5e,0x7d->0x7d-0x5d。 

图 6. 23 所 示 为 PPP 的 工作 状态 和 转换 关系 。 


i 
i 信 选 项 
a wh 


通信 结束 
LCP 


图 6.23 ”PPP 工作 状态 及 其 转换 关系 


当 用 户 接 入 ISP 时 ,首先 拨号 建立 物理 连接 ; 然后 ,如 图 6. 24 所 示 , 由 LCP 协商 将 要 
使 用 的 PPP 参数 (最 大 帧 长 , 鉴 权 协议 ,报头 压缩 等 ); 车 随后 的 PAP/CHAP 鉴 权 成 功 ,将 
使 用 NCP 给 接 入 的 计算 机 分 配 IP 地 址 ,完成 接 入 网 络 的 过 程 ; 当 用 户 上 网 完毕 ,释放 NCP 
和 LCP 连接 , 断 开 拨号 线路 。 


类 型 01 | Nconfigure-request 类 型 03 
标识 03 | 标识 03 
总 长 度 0012 -~ 玉 | 总 长 度 0008 
EE fi -nak” ee 
异步 映射 02 06 | PPAP 榴 权 | 0304c023 
选项 配置 | 00 0a 00 00 LCP 否 认 PAP 鉴 权 响应 帧 


协议 域 压缩 | ”07 02 
控制 头 压缩 | 08 02 
PAP 鉴 权 _ | 03 04 c0 23 


LCP 请 求 帧 1 十 、 
a | 加 
标识 04 --、 标识 04 
总 长 度 0009 configure-ack” 总 长 度 0009 
CHAP 鉴 权 |03 05 c2 23 25 PAP 鉴 权 |03 05 c2 23 05 
LCP 请 求 帧 2 LCP 认 可 CHAP 鉴 权 响 应 帧 


图 6.24 LCP 协商 参数 示例 


6.4.2 PPPoE 


在 传统 PSTN 拨号 上 网 中 ,采用 异步 通信 端口 上 的 PPP 或 SLIP 承载 IP 报 文 ,实现 面 
向 字符 到 面向 分 组 (面向 比特 流 ) 的 通信 方式 转换 。 但 在 ADSL 等 宽带 接 入 业务 中 ,计算 机 
设备 通过 Ethernet 接口 连接 ADSL-Modem, 不 适合 直接 运行 PPP。 此 外 ,如 图 6.25 所 示 ， 
从 ADSL 技术 架构 中 可 以 看 出 ,ADSL 不 需要 拨号 穿越 PSTN ,而 是 一 种 用 户 环 路 构成 的 点 
对 点 连接 关系 。 


计算 机 


ADSL-Modem 


UTP Km 
Ethernet | 语音 分 离 器 语音 分 离 器 DS 


电话 机 和. 电话 网 用 户 环 路 Ti Cm 


图 6.25 ADSL 用 户 -网 络 接口 示意 


宽带 网 络 接 入 采用 PPPoE (PPP over Ethernet) 协 议 (RFC 2516), 引入 虚拟 拨号 
《virtual dial-up) 的 概念 ,与 PPP 一 起 实现 上 网 认证 ,地 址 分 配 等 管理 功能 。 

如 图 6. 26 所 示 ,PPPoE 运行 在 Ethernet 协议 上 ,并 承载 PPP。 

PPPoE 协议 执行 过 程 分 发 现 (discovery) 和 会 话 (session) 两 个 阶段 。 

发 现 阶 段 用 于 交换 设备 的 信息 ,协商 建立 PPPoE 会 话 ,code 为 类 型 码 ,协议 类 别 Ether 
_type 一 0x8863 ,payload 承载 的 是 PPPoE 的 TAG , 即 控制 报 文 。TAG 格式 为 : 二 tag-type 
(16b) 一 tag-length(16b) 二 二 tag-value 二 。payload 中 可 包含 多 个 TAG。 发 现 阶 段 是 无 
状态 的 ,由 计算 机 终端 和 局 端 通信 服务 器 (又 称 接 入 集中 器 ) 相 互 获取 MAC 地 址 等 信息 ,并 
确定 本 次 会 话 的 session_id 值 。 协 议 执行 分 以 下 四 个 步 又。 

(1) 终端 发 送 PPPoE 主动 发 现 发 起 (PADI) 报 文 .目的 MAC 地 址 为 Ethernet 广播 地 
址 (全 1)。 其 中 code 二 0x09,session_id 二 0x0000。PADI 报 文 必须 至 少 包含 一 个 服务 名 称 
类 型 的 标签 (tag-type 一 0x0101, 意 为 service-name) ,向 通信 服务 器 提出 所 要 求 提供 的 服务 。 


126 
Pe 2 版 ) 


- 16b 一 


源 MAC 地 址 
6B 


目的 MAC 地 址 
6B 


协议 类 别 Etper_type=0x8863(TAG) or 0x8864(PPP) 
版 本 ver=0001| 类 型 type=0001| 。 类 型 码 code 8b 


6B 
会 话 号 session_id 16b | PPPoE 
数据 长 度 payload length 16b | 报头 
承载 数据 payload 


(PPPoE TAG or PPP packet) 


帧 校 验 FCS 
4B 


图 6.26 ”PPPoE 报 文 格式 


(2) 通信 服务 器 收 到 服务 范围 内 的 PADI 报 文 ,发 送 PPPoE 主动 发 现 提供 (PADO) 报 
文 , 以 响应 请 求 。 其 中 code 二 0x07,session_id 二 0x0000。PADO 分 组 包含 通信 服务 器 名 称 
类 型 的 标签 (tag-type 王 0x0102 , 意 为 ac-name) 以 及 一 个 或 多 个 服务 名 称 类 型 标签 ,表明 可 
向 终端 提供 的 服务 种 类 。 

(3) 终端 在 可 能 收 到 的 多 个 PADO 报 文中 选择 一 个 ,然后 向 所 选择 的 通信 服务 器 发 送 
PPPoE 主动 发 现 请 求 (PADR) 报 文 。 其 中 code 二 0x19, session_id 二 0x0000。PADR 报 文 
必须 包含 一 个 服务 名 称 类 型 标签 ,确定 向 通信 服务 器 (或 交换 机 ) 请 求 的 服务 种 类 。 

(4) 通信 服务 器 收 到 PADR 报 文 后 ,准备 开始 PPP 会 话 ,发 送 PPPoE 主动 发 现 会 话 确 
认 (PADS) 报 文 。 其 中 code 二 0x65, session_id 字段 值 为 通信 服务 器 生成 的 唯一 的 PPPoE 
会 话 标 识 号 码 。PADS 报 文 也 必须 包含 一 个 通信 服务 器 名 称 类 型 的 标签 以 确认 向 终端 提供 
的 服务 。 当 终端 收 到 PADS 报 文 获得 确认 后 ,双方 就 进入 PPP 会 话 阶 段 。 

在 会 话 阶段 ,Ethernet 报 文 均 为 单 播发 送 ,协议 类 别 Ether_type 二 0x8864。PPPoE 的 
code 王 0,payload 只 封装 和 传输 PPP 报 文 ,进一步 由 PPP 实现 协商 (LCP)、 鉴 权 (PAP/ 
CHAP) ,分 配 IP 地 址 (NCP) IP 报 文 传输 等 功能 ,session_id 在 会 话 阶段 保持 发 现 阶 段 获 
得 的 值 不 变 。 

封装 的 PPP 报 文 从 2B 的 协议 标识 码 开 始 。 当 传输 IP 报 文 时 ,考虑 到 PPPoE 和 PPP 
共 占 用 6 十 2=8B 报头 ,而 Ethernet 的 MTU 为 1500B, 因 此 IP 报 文 的 最 大 长 度 为 1492B。 

PPPoE 还 有 一 个 主动 发 现 终止 (PADT) 报 文 ,可 以 在 会 话 建立 后 的 任何 时 候 发 送 ,用 
于 终止 PPPoE 会 话 。PADT 可 以 由 终端 或 通信 服务 器 发 送 。 当 对 方 接收 到 一 个 PADT 报 
文 , 就 不 再 允许 使 用 这 个 会 话 来 发 送 PPP 报 文 。 PADT 分 组 不 需要 任何 标签 ,其 code 一 
0xa7 ,session-id 字段 值 为 需要 终止 的 PPP 会 话 标识 号 。 正 常情 况 下 应 该 使 用 PPP 来 终止 
了 PPPoE 会 话 , 但 是 当 PPP 不 能 使 用 时 ,可 以 使 用 PADT 报 文 。 


6.4.3 MPCP 


FTTx(Fiber To The x) 是 对 光纤 接 入 网 一 系列 技术 的 统称 ,光纤 到 户 (FTTH) 是 宽带 
网 络 接 入 的 理想 目标 。FTTx 有 别 于 HFC 的 模拟 光纤 主干 网 ,而 是 全 数字 化 的 计算 机 网 络 
技术 。 比 较 常见 的 FTTx 方式 有 以 下 几 种 。 

(1) FTTC(FTT-Curb) 光 纤 到 路 边 。 

(2) FTTZ(FTT-Zone) 光 纤 到 小 区 。 

(3) FTTB(FTT-Building) 光 纤 到 大 楼 。 

(4) FTTF(FTT-Floor) 光 纤 到 楼 层 。 

(5) FTTH(FTT-Home) 光 纤 到 家 庭 。 

以 常见 的 FTTB 为 例 , 一 般 采 用 FTTB 十 LAN 的 模型 。 接 入 网 的 主干 光纤 网 络 进 入 大 
楼 (或 园区 ) ,再 通过 10/100Mb/s 以 太 网 交换 机 (或 集线器 ) 组 网 并 互 连 各 个 用 户 , 用 户 认 
证 ,地 址 分 配 、 计 量 计 费 等 管理 通过 配置 相应 的 接 入 控制 服务 器 完成 。 因 此 ,用 户 只 需 使 用 
已 有 的 以 太 网 网 卡 和 UTP5 双 绞 线 即 可 接 入 Internet ,不 需要 额外 的 传输 设备 (如 Modem 
或 STP) 。 

FTTH 则 将 光纤 延伸 到 接 入 用 户 身边 ,具有 高 带宽 、 高 可 靠 性 、 高 安全 性 、 高 扩展 性 的 
优势 ,但 是 ,传统 的 有 源 光 交 换 和 光 传 输 设备 相当 昂贵 \ 易 受 环境 影响 、 难 以 部 署 、 维 护 困 难 ， 
不 利于 普及 应 用 ,所 以 ,稳定 、 灵 活 的 无 源 光 传 输 技术 和 设备 对 FTTH 的 实现 十 分 关键 。 

无 源 光 网 (Passive Optical Network, PON) 采 用 无 源 器 件 构 造 最 后 一 公里 的 光纤 接 入 
线路 , 光 进 铜 退 .光纤 人 户 ,配合 骨干 网 、 汇 聚 网 的 光 交 换 技术 ,可 形成 真正 的 全 光 网 络 (All 
Optical Network) 。 

ITU-T G. 982 提出 了 光纤 接 入 网 (Optical Access Network,OAN) 功 能 参考 配置 模型 ， 
如 图 6.27 所 示 。 


UA SNI 
| 

中 | EL 人 
HLA LoNu | 一 


T 参 考点 。 a 参考 点 S/R 参考 点 。 ”R/S 参考 点 。 V 参 考点 
图 6.27 OAN 参考 模型 


(1) SN 为 光 交 换 网 络 (Switching Network) ,由 光 交 换 机 构成 ,是 接 入 网 或 汇聚 网 的 一 部 分 。 

(2) OLT 为 光线 路 终端 (Optical Line Terminal) ,也 称 局 用 数字 终端 (HDT) ,与 SN 接 
口 ,分 离 交 换 和 非 交 互 业务 ,经 一 个 或 多 个 ODN 与 用 户 侧 ONU 通信 ,实现 网 络 管理 的 主要 
功能 ,管理 来 自 ONU 的 信 令 和 监控 信息 ,为 ONU 和 本 身 提供 维护 功能 。 

(3) ODN 为 光 配 线 网 (Optical Distribution Network) ,实现 光 信 号 功率 分 配 , 由 光 连 接 
器 . 光 分 路 器 等 无 源 光 器 件 组 成 ,使 多 路 ONU 共享 光 传 输 信道 和 光 器 件 。 

(4) ONU 为 光 网 络 单元 (Optical Network Unit) ,通过 光电 、 模 数 转换 、 复 用 、 信 令 处 理 
和 维护 管理 ,提供 直接 的 或 远 端 的 用 户 电 接口 。 
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(5) AF 为 适 配 功能 (Adaptation Function) ,用 于 ONU 和 用 户 设备 间 的 接口 适 配 ,可 以 
集成 在 ONU 中 。 

PON 采用 称 为 无 源 光 分 路 器 (splitter) 的 ODN 设备 将 OLT 信号 从 OLT 分 送 到 用 户 
端 ONU。 下 行为 TDM 广播 式 发 送 , 上 行 通常 采用 时 分 复 用 多 址 访问 (TDMA) 完 成 共享 信 
道 信 息 传 输 ( 如 图 6. 28 所 示 )。 


Si 


加 人 ~、 
用 户 1 D ONU 
= 下 行 报 广 
a 点 EE fa 
ONU OLT 
和 四 DD 
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图 6.28 PON 工作 原理 


PON 技术 包括 基于 ATM 的 PON (APON,ITU-T G. 983)、 基 于 Ethernet 的 PON 
(EPON,IEEE 802. 3-2005) , 千 兆 PON(GPON,ITU-T G. 984) 三 类 ,差别 是 采用 了 不 同 的 
数据 链 路 层 技术 。 

由 于 EPON 采用 高 速 . 易 用 、 低 价 、 普 及 的 Ethernet 技术 ,在 宽带 接 和 人 网 中 具有 明显 的 
比较 优势 。 

EPON 物理 层 使 用 波 分 复 用 (Wave Division Multiplexing, WDM) 技 术 , 实 现 单 纤 双向 
传输 ,下 行 波长 为 1490nm, 上 行 波长 为 1310nm, 定 义 了 1000Base-PX-10U/D( 支 持 最 长 
10km) 和 1000Base-PX-20U/D( 最 长 20km) 两 种 光 接 口 。 在 物理 编码 子 层 , 采 用 8B/10B 线 
路 编码 ,支持 1.25Gb/s( 可 升级 到 10Gb/s) 对 称 通信 速率 。 

多 点 控制 协议 (Multi-Point Control Protocol, MPCP) 是 EPON 关键 技术 之 一 ,由 以 太 
网 MAC 协议 扩展 而 来 ,增加 了 点 到 多 点 通信 控制 功能 。 

MPCP 实现 ONU 的 发 现 和 注册 、 多 个 ONU 之 间 上 行 传输 资源 的 分 配 、 动 态 带宽 分 
配 、 网 络 启 动 过 程控 制 等 。 这 些 功能 由 允许 选 通 (gate) .报告 (report) ,注册 请 求 (register_ 
req) ,注册 (register) 和 注册 确认 (register_ack)5 种 MAC 帧 实现 。 例 如 最 基本 的 用 于 请 求 
和 带宽 分 配 的 gate/report 机 制 ,OLT 通过 gate 给 ONU 授权 ,分 配 使 用 间隙 的 长 短 、 允 许 
其 发 送 数 据 的 开始 时 刻 , 而 ONU 通过 report 报告 自身 状态 ,包括 需要 发 送 数据 的 尺寸 .本 
地 时 钟 同步 等 信息 。 

为 避免 上 行 信号 相互 重 硅 ,MPCP 要 求 OLT 与 ONU 的 时 间 保 持 严格 同步 。OLT 和 
ONU 均 有 一 个 本 地 计时 器 ,以 16ns 为 单位 ,作为 时 间 戳 在 发 送 时 填 人 MPCP 帧 中 。ONTU 
利用 OLT 发 来 的 控制 帧 中 的 时 间 截 动态 调整 本 地 计时 器 的 值 ,与 OLT 同步 。 但 距离 、 光 
电器 件 性 能 、 环 境 条 件 等 差别 导致 各 个 ONU 和 OLT 之 间 信 息 往返 时 延 (Round Trip 
Time,RTT) 可 能 差异 很 大 ,需要 把 每 个 ONU 都 调整 到 与 OLT 有 相同 的 逻辑 距离 , 即 延 迟 时 
间 均 为 T4。 为 达到 这 一 要 求 ,各 个 ONU 应 把 上 行 帧 延迟 Ts 一 RTT; 的 均衡 延迟 时 间 再 发 送 。 


RTT 的 获得 采用 时 间 标 签 测 距 法 。 如 图 6. 29 所 示 ,要 求 ONU 一 旦 收 到 OLT 发 送 的 
MPCP 帧 ,必须 用 帧 所 携带 的 时 间 蕉 更 新 本 地 计时 器 。 这 样 , 当 OLT 接收 到 ONU 发 送 的 
帧 时 ,就 可 利用 时 间 戳 与 本 地 计时 器 之 差 计算 出 RTT。 

每 隔 16ns, 计时 器 +1 


i J 
1 1 1 1 1 | Is 
OLT 本 地 3» . Dr » 时 间 
计时 器 一 加 totl 0 toti oo totitj 0 totitjtk Ee 
\ \ 
hs yi il ”to “0 tj ~) totj+k 1 
的 1 
国 本 {| 地 上、 1/ 
OLT 发 送 由 ONU 接 收 帧 ONU 发 送 巅 。 。 OLT 接 收 巅 / 
携带 时 间 惟 更 新 计时 器 携带 时 间 惟 ee Fe 
/上 


RTT=(totitj+h) (tot))=itk 


图 6.29 MPCP 时 间 标 签 测 距 法 


OLT 启动 后 ,将 周期 性 地 广播 允许 接 人 的 时 隙 等 信息 ; ONU 上 电 后 ,根据 OLT 广播 
的 允许 接 人 信息 ,主动 发 起 注册 请 求 ; OLT 通过 对 ONU 的 认证 (可 选 过 程 ) ,允许 ONU 接 
入 ,并 给 请 求 注册 的 ONU 分 配 一 个 该 OLT 端口 唯一 的 逻辑 链 路 标识 (Logical Link 
Identifier,LLID) 。 

MAC 帧 前 的 7B 同步 码 (0x55) 与 1B 开始 符 (0xd5) 被 802. 3z 定义 为 前 导 码 
(preamble) ,可 携带 控制 信息 。LLID 即位 于 8B 前 导 码 的 第 六 、 第 七 字 节 。 下 行 TDM 方式 
广播 被 ONU 接收 后 ,ONU 只 接受 LLID 属于 自己 的 帧 ,其余 帧 被 舍弃 。 
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7.1 移动 通信 网 络 结构 


移动 通信 网 络 (Mobile Communication Network,MCN) 是 采用 无 线 通信 技 
术 的 电话 网 络 。20 世纪 70 年 代 推 出 的 第 一 代 移 动 通信 和 网络 (1* Generation 
MCN,1G) 就 是 运用 FDMA 复 用 方式 的 电路 交换 模拟 电话 系统 。 

但 移动 通信 并 非 无 线 通 信 与 PSTN 的 简单 至 加。 作为 面向 语音 通信 的 
运营 级 网 络 , 移 动 通信 系统 应 支持 完善 的 用 户 认 证 和 管理 ,终端 移动 漫游 . 通 
话 过 程 无 缝 切换 等 特定 功能 ,支持 多 用 户 并 发 接 入 和 通信 ,并 提供 全 面 的 无 
线 信 号 覆盖 和 稳定 可 靠 的 服务 质量 。 

移动 通信 系统 的 体系 结构 如 图 7.1 所 示 。 

移动 站 (Mobile Station, MS) 或 移动 主机 (Mobile Host, MH) 一 般 即 指 
手机 ,通过 无 线 基站 (BSS) 接 入 移动 通信 和 网络, 呼叫 管理 ,用户 管理 、 系 统管 
理 、 网 络 互 连 等 功能 由 网 络 子 系统 (NSS) 和 运营 支撑 系统 (OSS) 协 同 完成 。 

由 于 适合 移动 通信 的 频谱 资源 非常 有 限 , 为 能 够 充分 利用 资源 为 更 多 的 
用 户 提供 更 高 质量 的 服务 ,需要 通过 多 种 复 用 技术 来 获得 更 大 的 容量 。 

移动 通信 系统 首先 采用 蜂窝 (cell) 结 构 的 复 用 方法 ,如 图 7.2 所 示 , 在 地 
理 空间 上 进行 划分 ,理想 情况 下 可 以 达到 全 面 覆 盖 。 一 个 蜂窝 就 是 一 个 基站 
天 线 的 覆盖 范围 ,也 称 为 小 区 ,频率 资源 可 以 在 不 同 的 小 区 中 重复 使 用 。 若 
干 个 小 区 构成 一 个 区 群 ,区 群 中 各 基站 以 有 线 通信 方式 连接 到 MSC。 因 此 ， 
移动 通信 网 络 常 被 称 为 蜂窝 通信 网 络 。 

在 蜂窝 式 移动 通信 系统 中 ,一 个 移动 终端 从 属于 一 个 家 乡 网 络 (home 
network) ,由 家 乡 地 址 相互 区 别 ; 在 家 乡 网 络 中 ,家 乡 代 理 跟踪 移动 终端 的 
当前 位 置 ; 当 移动 终端 离开 家 乡 网 络 到 外 地 网 络 (foreign network) 时 ,需要 
到 外 地 代理 上 注册 ,并 通过 外 地 代理 保持 与 家 乡 代理 之 间 的 联系 ,使 家 乡 代 
理 始终 了 解 其 位 置 。 这 是 位 置 管理 的 基本 工作 原理 。 位 置 管理 和 切换 管理 
一 起 构成 移动 性 管理 ,是 移动 通信 技术 中 最 为 独特 和 重要 的 内 容 。 
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“人 PDN 
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MS: 移动 台 (Mobile Station) BTS: 基站 收发 信 机 (Base Transceiver Station) 
TE: 终端 设备 (Terminal Equipment) BSC: 基站 控制 中 心 (Base Station Center) 
BSS: 基站 子 系统 (Base Station Subsystem) VLR: 访问 位 置 寄存 器 (Visitor Location Register) 
NSS: 网 络 子 系统 (Network Subsystem) MSC: 移动 业务 交换 中 心 (Mobile Switching Center) 


撑 系 统 (Operation Surporting System) 。 HLR: 归属 位 置 寄存 器 (Home Location Register) 
护 中 心 (Operation Maintenance Centre) EIR: 设备 识别 寄存 器 (Equipment Identifier Register) 


NMC: 网 络 管理 中 心 (Network Management Centre) ”DPPS: 数据 后 处 理 系统 (Data Post-Process System) 
AuC: 鉴 权 中 心 (Authentication Centre) PCS: 用 户 识别 卡 个 人 化 中 心 (Personalizatiom center) 
PDN: 分 组 数据 网 (Packet Data Network) SEMC: 安全 性 管理 中 心 (Security Management Center 


图 7.1 移动 通信 系统 体系 结构 


图 7.2 移动 通信 蜂窝 示意 


20 世纪 80 年 代数 字 移动 通信 系统 诞生 , 称 为 第 二 代 移 动 通信 网 络 (2”Generation MCN， 
2G)。 从 2G 开始 ,数据 业务 逐步 拥有 了 与 语音 业务 同等 重要 的 地 位 。 分 组 交换 、 文 本 短 消 
息 、 多 媒体 信息 、 宽 带 接 入 Internet 等 成 为 移动 通信 网 络 所 具备 的 主要 功能 。 随 着 频带 复 
用 ,信道 编码 等 无 线 通 信 技 术 不 断 进步 ,频率 资源 利用 率 和 数据 通信 速率 获得 不 断 提高 ,在 
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经 历 了 2.5G、2.75G 的 技术 升级 后 ,第 三 代 移 动 通信 网 络 (3”Generation MCN,3G) 应 运 而 
生 。 按 照 技 术 发 展 的 节奏 ,4G、5G 时 代 的 到 来 应 当 也 为 时 不 远 了 。 数 字 移动 通信 系统 的 技 
术 演 进 如 图 7. 3 所 示 。 


图 2G — 2.5G =-- 3G 十 E3G -| 


W-CDMA(UMTS) 
DS FDD 1 LIE \ 
(异步 ) | [TDMA(S41>> Pert Thr (DD) TD-SCDMA /i \ 
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GSMP hase2 i， 车 刀 > 中 
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王 9.6K 
二 
i 语音 分 组 交换 虚 电 路 (SVC) 视频 传输 高 品质 视频 传输 
业务 短 消息 (SMS) 无 线 互联 网 移动 多 媒体 标准 移动 多 媒体 


电路 交换 数据 多 媒体 消息 (MMS) 移 支 电子 商务 移动 SVC 
图 7.3 数字 移动 通信 网 络 技术 演进 示意 


移动 通信 系统 NSS 内 部 或 NSS 与 外 部 系统 和 网 络 之 间 的 接口 采用 No. 7 信 令 实现 , 另 
外 还 采用 MAP、ISUP、TUP 等 不 同 应 用 层 类 型 的 信 令 协议 。 


7.2 移动 通信 网 络 关键 技术 


7.2.1 号 码 管理 


如 图 7.4 所 示 , 移 动 通信 系统 需 对 用 户 设备 进行 编号 ,以 便 在 移动 性 管理 和 呼叫 时 迅 
速 、 准 确 、 安 全 地 识别 目标 。 编 号 由 不 同 设备 记录 并 用 于 不 同 协议 。 
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图 7.4 移动 通信 系统 号 码 管理 和 使 用 示例 


第 7 章 移动 通信 网 


1. IMSI 


国际 移动 用 户 识别 码 (International Mobile Subscriber Identity,IMSD) 永 久 性 唯一 地 属 
于 一 个 移动 用 户 ,包括 漫游 区 域 在 内 的 所 有 位 置 都 是 有 效 的 。IMSI 储存 在 SIM 卡 及 HLR 
等 设备 中 ,用 于 位 置 更 新 、 呼 叫 建立 等 信 令 协议 ,出 于 安全 保密 的 考虑 ,一般 不 在 无 线 接口 上 
传送 。IMSI 采用 ITU-T E. 212 编码 规则 , 共 由 15 位 数字 组 成 ,包括 如 下 内 容 。 

(1) 移动 国家 号 码 (Mobile Country Code, MCC),3 位 ,中 国 是 460。 

(2) 移动 通信 网 号 码 (Mobile Network Code,MNC) ,2 一 3 位 ,由 每 个 国家 分 配 。 例 如 
中 国 移动 是 00 或 02 ,中 国联 通 是 01 。 

(3) 移动 用 户 识 别 号 (Mobile Subscriber Identification Number,MSIN ) ,最 多 10 位 ,由 
运营 商 分 配 ,唯一 识别 该 运营 商 网 络 中 的 移动 设备 或 用 户 。 

MNC 和 MSIN 共同 构成 一 个 国家 内 唯一 识别 移动 用 户 的 国内 移动 用 户 识别 号 (the 
National Mobile Subscriber Identity,NMSI) 。 

2. TMSI 


临时 移动 用 户 识 别 码 (Temporary Mobile Subscriber Identity,TMSI) 由 VLR 分 配给 
位 置 登记 或 位 置 更 新 后 的 来 访 移动 用 户 , 与 IMSI 唯一 对 应 ,但 TMSI 仅 在 该 VLR 所 管理 
的 区 域 使 用 。TMSI 为 4B 的 BCD 码 , 即 8 个 十 六 进 制 数 。TMSI 在 呼叫 建立 和 位 置 更 新 
时 在 空中 接口 中 使 用 ,起 到 安全 替代 IMSI 的 作用 。 

3. MSISDN 


移动 用 户 国 际 电话 号 码 (Mobile Subscriber International ISDN/PSTN Number, MSISDN) 
是 用 于 移动 通信 网络 呼叫 拨号 的 号 码 ( 即 手机 号 码 )。MSISDN 采用 ITU-T E. 164 编码 规则 ， 
存储 在 HLR 和 VLR 中 ,在 移动 接 入 网 协议 接口 中 传送 。MSISDN 由 最 多 16 位 数字 组 成 。 

(1) 国家 码 (Country Code,CC) ,中国 为 86。 

(2) 国内 接 入 码 (National Destination Code, NDC) ,3 位 数字 。 例 如 ,中 国 移动 有 139、 
138、158 等 ,中 国电 信 有 189 等 。 

(3) 用 户 号 码 (Subscriber Number,SN), 由 运营 商 负责 分 配 , 组 成 方式 为 Ho Hi H; H; ABCD， 
其 中 ,Ho HiH;H; 为 HLR 识别 号 ,Ho。Hi Hs 由 全 网 统一 分 配 , H; 为 省 内 分 配 ,ABCD 为 一 
个 HLR 中 移动 用 户 的 号 码 。 

4. MSRN 

移动 站 漫游 号 码 (Mobile Station Roaming Number,MSRN) 用 于 移动 终端 漫游 时 进行 
路 由 选择 ,将 呼叫 转移 到 移动 终端 当前 所 登记 的 MSC, 并 由 VLR 临时 分 配 一 个 MSRN , 呼 
叫 接续 完成 后 即 释放 。 

5. 其 他 号 码 

其 他 号 码 包括 本 地 移动 用 户 识 别 码 LMSI、 切 换 号 码 HON 位置 区 识别 码 LAI` 温 游 区 
域 识别 码 RSZI、 基 站 识别 码 BSIC、 国 际 设备 识别 码 IMEI( 唯 一 标识 手机 ) 等 。 


7.2.2 用 户 鉴 权 


用 户 鉴 权 用 于 防止 未 授权 的 非法 终端 接 入 移动 通信 网络 。 鉴 权 的 依据 是 移动 终端 中 的 
SIM 卡 存储 的 IMSI、TMSI、K; 、K。 等 参数 和 加 密 算法 A;、As ,这 些 数 据 是 在 SIM 卡 合法 登 
记 开 通 时 由 网 络 运营 商 加 密 写 人 并 在 鉴 权 中 心 (AuC) 中 记录 。 
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用 户 鉴 权 密 钥 K; 用 于 As 加 密 算 法 ,As 为 鉴 权 算法 , 且 As 是 保密 的 。 用 户 鉴 权 过 程 
采用 AuC 生成 的 鉴 权 三 参数 组 来 实现 : 

{随机 数 RAND, 符 号 响应 SRES, 加 密 密 钥 K.} 

RAND 为 128b 随机 数 ; SRES 为 32b, 由 RAND 和 K; 经 As 鉴 权 算法 获得 ; K。 则 由 
RAND 和 K; 经 As 加 密 算法 获得 。 鉴 权 三 参数 组 产生 流程 如 图 7. 5 所 示 。 


i 1 
一 RAND |) 
上’. ! 鉴 
| 本 
128b 三 
sa—™| RAND 鉴 权 算 法 A | SRES | ! 参 
随机 数 发 生 器 a | 当 
1 
h 1 
AM 一 -| JE HA | 
上 一 一 一 一 一 一 | 


图 7.5 鉴 权 三 参数 组 产生 流程 


用 户 终端 每 次 在 进行 接 入 登记 、 呼 叫 建立 、 位 置 更 新 等 操作 前 均 需 要 先 完成 鉴 权 。 鉴 权 
流程 如 下 。 

(1) 当 移 动 终端 请 求 接 入 时 ,MSC/VLR 通过 控制 信道 将 三 参数 组 中 的 RAND 参数 传 

(2) 终端 收 到 RAND 后 ,用 此 RAND 和 SIM 卡 中 存储 的 K; 经 同样 的 A; 算法 计算 获 
得 一 个 符号 响应 SRESws ,并 将 其 传 回 MSC/VLR。 

(3) MSC/VLR 将 收 到 的 SRESws 与 记录 的 三 参数 组 中 的 SRESawc 进 行 比 较 , 如 果 相同 
就 允许 用 户 接 入 ,否则 拒绝 接 入 。 


7.2.3 用 户 漫游 


用 户 漫游 (Subscriber Roaming) 是 移动 用 户 及 其 终端 在 不 同 地 理 位 置 上 转移 的 过 程 ,就 移 
动 通信 网 络 而 言 ,就 是 移动 终端 位 置 管理 的 问题 。 所 以 ,漫游 管理 等 价 于 定位 (位 置 ) 管 理 。 

用 户 漫游 包括 多 种 情况 : 在 新 位 置 开 机 ,在 开机 状态 移动 到 新 的 位 置 等 。 温 游 还 分 为 
同一 MSC 内 不 同 BSC 的 位 置 更 新 以 及 不 同 MSC 间 的 越 局 位 置 更 新 。 

例如 ,移动 终端 从 原来 的 MSC1 漫游 到 当前 的 MSC2 , 则 应 当 在 新 的 位 置 上 进行 更 新 操 
作 ,基本 流程 如 图 7.6 所 示 。 


7.2.4 无 颖 切换 


切换 (handover) 是 指 将 一 个 处 于 呼叫 建立 状态 或 通话 状态 的 移动 终端 转换 到 新 的 信道 
上 ,并 保持 已 经 建立 的 链 路 不 被 中 断 的 过 程 。 由 于 移动 用 户 感觉 不 到 切换 操作 ,因此 常 称 为 
无 缝 切换 (seamless handover) 。 

切换 一 般 由 移动 中 断 监 测 并 判决 , 交 由 交换 中 心 控制 完成 。 在 切换 过 程 中 ,终端 和 基站 
均 参 与 其 中 ,切换 与 否则 由 基站 决定 。 

移动 终端 在 通话 过 程 中 ,不 断 向 所 在 小 区 的 基站 报告 本 小 区 和 相 邻 小 区 的 无 线 环 境 参 
数 ,同时 BTS 也 在 不 停 地 测量 上 行 信号 质量 .强度 及 时 间 提 前 量 ,BTS 将 测量 报告 送 往 基站 
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MS BSC2 MSC2 VLR2 HLR VLRI1 
I - 
(新 位 置 ) 信 道 请 求 .建立 RR 和 连接 
位 置 更 新 请 求 。 | 完成 layer3 信 息 更 新 位 置 区域 人 
监 权 | 鉴 权 参数 ,IMSI | 
|_ 监 权 请 求 
鉴 权 响 应 =| 鉴 权 响 应 更 新 位 置 
修 故 
修改 用 户 | 用 户 数据 
| 数据 确认 | 删除 位 置 
删除 该 MS 
相关 数据 
设备 加 窗 模 式 | 更 新 位 置 确认 一 剧 除 位 秆 确认 
新 的 TMSI 
加 密 模式 命令 更 新 位 置 区 确认 
= + 
加 密 模 式 完成 
位 置 更 新 接受 
再 分 配 完成 
J TMs 确认 
资源 释放 , 信道 释放 , RR 连接 释放 | 
1 1 1 1 


图 7.6 不 同 MSC 之 间 的 位 置 更 新 流程 
控制 系统 (BSC),BSC 根据 这 些 信息 对 各 个 小 区 状况 进行 排序 ,最 终 决 定 是 否 需 要 切换 ,以 


及 切换 到 哪个 BTS。 
切换 可 分 为 BSS 内 部 切换 、 同 MSC 内 不 同 BSS 间 切 换 、MSC 间 切 换 。 如 图 7.7 所 示 


为 不 同 MSC 间 切 换 的 信 令 流程 。 


MS Bsc1 | [wsc-A| MSC-B BSC2 VLR-B 
测量 报告 “| ”切换 请 求 .| 执行 切换 分 配 切 换 号 码 
鉴 权 发 送 切换 报告 
切换 请 求 
无 线 信道 证 实 | 切换 请 求 确认 
切换 CMD, 经 原 i 
BTS 让 MS 转 到 合 公 ACM(USUP) 
新 的 信道 切换 命令 | | 
切换 完成 | 
清除 命令 ”| 发 送 结束 信号 切 扫 完成 一 
清除 完 ANS(ISUP) 
1 昌 出 时 下 


7.7 不 同 MSC 之 间 切 换 的 信 令 流程 
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7.3 26G 网 络 


从 2G 网 络 开始 ,移动 通信 技术 和 网 络 进入 数字 化 时 代 , 与 第 一 代 模 拟 系统 相 比 ,有 了 质 
的 飞跃 ,为 进一步 的 发 展 葛 定 了 良好 的 基础 。 由 于 2G 网 络 技术 非常 成 熟 ,网 络 覆 盖 面 大 ,用户 
保有 量 多 ,因此 ,即使 在 如 今 的 3G 时 代 , 仍 然 有 许多 网 络 、 许 多 用 户 “ 停 留 " 在 2G 上 。 究 其 原 
因 , 用 户 不 愿意 立即 更 换 手 机 、3G 网 络 吸 引力 不 够 .3G 网 络 建设 尚未 完全 到 位 是 主要 因素 。 

2G 网 络 采用 TDMA 或 CDMA 多 址 接 和 人 技术 ,其 技术 主要 分 为 两 大 阵营 : 欧洲 的 
GSM 和 北美 的 CDMA 。2G 网 络 技术 指标 和 地 区 分 布 情况 如 表 7. 1 所 示 。 


表 7.1 2G 技术 指标 和 网 络 分 布 


移动 通信 网 络 技术 1S-95 GSM 1S-54 PDC 
分 布地 区 美国 ,中国 欧洲 、 中 国 美国 日 本 
多 址 访问 方式 CDMA TDMA/FDD TDMA/FDD TDMA/FDD 
调制 方式 QPSK/OQPSK GMSK a/4 DQPSK /4 DQPSK 
前 向 信道 (MHz) 869~894 935~960 869 一 894 810 一 826 
反 向 信道 (MHz) 824 一 849 890~915 824~849 940~956 
信道 间隔 (kHz) 1250 200 30 25 
数据 / 码 片 速率 (Kb/s) 1. 2288(Mecps) 270. 833 48.6 42 
语音 编码 速率 (Kb/s) 1.2~9.6 13.4 7.95 6.7 


GSM(Global Standard for Mobile Communication ) 采用 900MHz 频段 , 频 分 双 工 
(FDD) 方 式 , 分 为 下 行 ( 前 向 ) 链 路 和 上 行 ( 反 向 ) 链 路 ,每 条 链 路 两 边 各 留 一 段 频段 ,防止 相 
互 干扰 。 如 图 7. 8 所 示 ,两 条 链 路 共 分 为 124 对 载 频 ,每 路 载 频 用 TDMA 方式 划分 出 8 个 
时 隙 ,这 样 ,GSM 共 可 获得 992 个 双 工 传输 信道 。 


TDMA -| 
1 
1 
1 
FDMA 
1 
1 1 
2|3|a|s|el7| 200rnz | J 
935MHz 124x8=992 个 信道 ‘ 
(保留 频段 ) 
3 
1 
1 
FDMA 
1 
1 
2|3|4|5l|7 | 
890MHz 124x8-992 个 信道。 
-TDMA frame -~ X8=-4.615mg | 


图 7.8 GSM 上 行 和 下 行 信道 
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主 载 频 fo 的 时 隙 0 和 1 用 于 传送 信 令 ,为 控制 信道 ; 其 余 信 道 用 于 传送 语音 或 数据 ,为 
业务 信道 。 数 据 传输 的 最 高 速率 为 9. 6Kb/s。 常 用 的 短 消息 服务 (Short Message Service， 
SMS) 是 通过 控制 信道 传送 的 。 

通用 分 组 无 线 业 务 (General Packet Radio Service,GPRS) 是 GSM Phase2. 1 规范 实现 
的 内 容 , 引 入 了 分 组 交换 功能 ,能 够 提供 比 GSM 网 络 业务 信道 更 高 的 数据 速率 。GPRS 与 
CDMA1x 一 起 也 被 称 为 2.5G 网 络 。 

GPRS 采用 与 GSM 系统 相同 的 频段 .频带 宽度 、 突 发 结构 、 无 线 调 制 技术 、 跳 频 规则 和 
相同 的 TDMA 帧 结构 ,但 在 信道 分 配 、 接 口 方式 ,数据 传输 等 方面 体现 了 分 组 业务 的 特点 。 
如 图 7.9 所 示 ,GSM 网 络 可 以 通过 增加 PCU、SGSN、GGSN 等 3 个 网 元 设备 ,平滑 升级 到 
GPRS 网 络 。 


分 组 交换 业务 信道 


PDN 
Internet 


VV | BTS [eeul | 
MS 站 | | 

BSC 7 
电路 交换 业务 信道 
PCU: 分 组 控制 单元 (Packet Control Unit) 


SGSN: GPRS 服务 支持 结 点 (Serving GPRS Supporting Node) 
GGSN: GPRS 网 关 支持 结 点 (Gateway GPRS Supporting Node) 


图 7.9 GPRS 系 统 示 意 


GPRS 可 以 提供 高 达 171. 2Kb/s 的 无 线 接 入 峰值 速率 (8 个 时 隙 ) 。 

增强 型 数据 速率 GSM 业务 (Enhanced Data rates for the GSM Evolution ,EDGE) 经 常 
被 称 为 2. 75G 移动 通信 网 络 , 用 于 提供 GSM/GPRS 系统 上 的 高 速 数据 服务 。 

EDGE 兼容 GSM/GPRS 网 络 ,在 保持 200kHz 载 频带 宽 不 变 的 前 提 下 ,通过 改变 调制 、 
编码 方式 提高 数据 传输 速率 ,同时 对 核心 网 影响 很 小 。 

EDGE 技术 包括 : 基于 电路 交换 的 GSM 网 络 的 增强 电路 交换 数据 业务 ECSD、 基 于 分 
组 交换 GPRS 网 络 的 增强 通用 分 组 无 线 业 务 EGPRS、 基 于 D-AMPS 网 络 的 增强 技术 
EDGE 压缩 技术 。 

由 于 ECSD 和 EDGE 压缩 技术 存在 一 定 的 技术 局 限 性 ,未 得 到 应 用 , 故 EDGE 通常 是 
指 EGPRS 技术 。 对 一 个 多 时 际 的 EGPRS 终端 ,同时 使 用 8 个 时 隙 ,可 达到 无 线 接 人 的 最 
大 数据 速率 475Kb/s。 


7.4 36G 网络 


3G 移动 通信 系统 被 ITU-T 称 为 IMT-2000, 北 美称 为 CDMA-2000, 在 欧洲 则 称 为 
UMTS( Universal Mobile Telecommunication System) 。3G 规范 由 第 三 代 移 动 通信 合作 伙 
伴 3GPP 和 3GPP2 负责 制定 。 

3G 网 络 基于 2G 的 GSM/CDMA 核心 网 结构 ,但 是 采用 新 的 空中 接口 协议 ,工作 于 
2GHz 频段 。 

3G 网 络 有 三 类 共 五 种 技术 标准 。 
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(1) WCDMA。 宽 带 码 分 多 址 (Wideband CDMA, WCDMA) 支 持 两 种 基本 的 双 工 方 
式 : 频 分 双 工 (FDD) 和 时 分 双 工 (TDD) ,采用 宽带 直 扩 码 分 多 址 (DS-CDMA) 技 术 。 

快速 移动 环境 中 , WCDMA 最 高 速率 为 144Kb/s, 步 行情 况 下 达 384Kb/s, 静 止 时 达到 
最 高 2Mb/s。 而 采用 HSDPA 技术 ,下 行 速率 可 达 10. 8Mb/s, HSUPA 的 上 行 速率 达到 
1.4~5. 8Mb/s。 

WCDMA 中 的 软 切 换 (soft handover) 技 术 富 有 特点 ,与 硬 切 换 相 比 ,由 于 软 切 换 可 同时 与 
多 个 小 区 保持 通信 、 接 收 端 利用 宏 分 集 技术 降低 接收 信号 衰落 的 概率 ,有 助 于 降低 掉 话 率 。 

(2) CDMA2000。CDMA2000 的 核心 网 和 无 线 网 技术 的 改进 是 分 阶段 ,各 自 独 立 进 行 
的 。CDMA2000 一 个 载波 的 带宽 为 1.25MHz, 如 果 分 别 使 用 每 个 载波 ,被 称 为 1x 系统 ,如 
果 3 个 载波 捆绑 使 用 , 则 为 3x 系统 。CDMA2000 的 演进 方向 是 1x/EV-DO 和 1x/EV-DV。 

(3) TD -SCDMA。 时 分 同步 码 分 多 址 (Time Division Synchronous CDMA, TD - 
SCDMA) 是 中 国 主导 研发 和 提出 的 3G 国际 标准 ,具有 重要 的 国家 战略 意义 。 

TD-SCDMA 核心 网 与 WCDMA 基本 相同 ,不 同 处 在 于 无 线 接 人 网 络 部 分 。TD - 
SCDMA 无 线 传输 方案 是 FDMA .TDMA 和 CDMA 三 种 多 址 技术 的 结合 运用 ,具有 较 显著 
的 特色 (如 图 7. 10 所 示 )。 


码 道 


码 道 时 间 


Ta 

2 

全 | 儿 HE 
is 


EE Te 
(GO) TD-SCDMA 多 址 方式 (0) WCDMAICDMA 多 址 方式 


图 7.10 TD-SCDMA 多 址 方式 技术 特色 


TD-SCDMA 采用 TDD 双 工 方式 ,可 动态 分 配 信 道 ,通过 周期 性 地 转换 传输 方向 ,允许 
在 同一 个 载波 上 交替 地 进行 上 下 行 链 路 传输 (就 像 城 市 交通 中 的 可 变 车 道 ) ,理论 上 仅 需 单 
载波 就 可 提供 2Mb/s 数据 速率 。 

TD-SCDMA 运用 了 智能 天 线 (smart antenna) 技 术 ,基于 自 适 应 天 线 阵 原理 .利用 天 线 
阵 的 波束 赋 形 ,产生 多 个 独立 的 波束 ,并 自动 调制 波束 方向 来 跟踪 每 一 个 用 户 , 可 减 小 干扰 、 
增加 系统 容量 .降低 发 射 信号 功率 。 智 能 天 线 还 属于 一 种 空 分 多 址 技术 。 此 外 ,TD- 
SCDMA 还 应 用 了 上 行 同步 ,联合 检测 .接力 切换 等 先进 技术 。 

从 图 7.11 可 以 看 到 ,3G 不 是 移动 通信 网 络 发 展 的 终点 。 以 3G 为 新 的 起 点 ,移动 通信 
技术 已 经 演化 出 E3G/S3G 、B3G(Beyond3G, 超 3G) ,并 向 4G 迈进 。 


1 1 1 
1 WCDMA | 
3GPP GSM 门 TD-SCDMA 门 HSPA 上 oj LTE 站 3 
3 
1 1 1| § 
CDMA2000 区 
本 2000|H| He 
3GPP2 | CDMA | CDMA2000 fxEV oi- UMB 如 
1 1 1 呈 
1 
WiMax 802.16d [= 8021l6e pe 80216m re 
1 
2G T 3G ] Evolved3G/Super3G/3.5G ' B3G/4G 


图 7.11 3G 演进 路 线 
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7.5 WAP 


无 线 应 用 协议 (Wireless Application Protocol, WAP) 是 移动 通信 系统 上 的 信息 访问 技 
术 框 架 ,为 移动 通信 用 户 ( 尤 其 是 手机 ) 提 供 类 似 Internet 信息 浏览 的 服务 。 

WAP 有 WAP 1. x、WAP 2.0 和 开放 移动 联盟 (OMA)3 个 发 展 阶段 。WAP 1. x 的 应 
用 目标 是 针对 非 智 能 手机 的 系统 结构 要 求 ,而 随 着 移动 通信 和 网络 发 展 到 2. 5G, 智 能 手机 也 
逐渐 普及 ,WAP 开始 与 HTML 进行 融合 ,以 适应 更 加 具有 开放 性 的 业务 需要 。 

WAP 体系 主要 由 WAP 代理 和 WAP 网 关 构 成 (如 图 7. 12 所 示 )。 


0 A Web 网 站 


N ss 


NY 
移动 终端 人 
(WAP 代 理 ) 


Internet 


SQ a 
WAP 网 站 


图 7.12 WAP 体系 结构 示意 


WAP 代理 即 安装 在 手机 上 的 微型 浏览 器 ,可 以 使 用 WAP 体系 定义 的 无 线 标记 语言 
(Wireless Markup Language,， WML) 和 上 脚本 语言 (WML Script,WMLS) 来 访问 WAP 网 站 。 
WML 是 一 种 与 HTML 非常 相似 的 超 文本 描述 语言 ,采用 标签 定义 的 结构 。 

WAP 网 关 主 要 实现 协议 适 配 和 信息 编 解码 功能 。 通 过 WAP 网 关 , 可 以 将 WML 转换 
为 适合 在 无 线 环 境 中 传输 的 压缩 二 进 制 码 ,减少 带宽 占用 。WAP 网 关 可 支持 从 WAP 到 
HTTP、WML 到 HTML 的 转换 ,使 WAP 用 户 可 以 访问 Internet 上 的 大 量 网 站 资源 。 

WAP 提供 两 种 信息 访问 模式 : Pull( 拉 ) 模 式 和 Push( 推 ) 模 式 。 

Pull 模式 即 常用 的 用 户主 动 发 起 浏览 信息 请 求 ,服务器 进行 响应 的 方式 。Push 模式 则 
是 WAP 技术 所 独 有 的 ,业务 运行 在 WAP 协议 栈 会 话 层 协议 之 上 ,由 网 络 主动 发 起 向 用 户 
发 送信 息 ,可 将 信息 推送 到 手机 上 (与 SMS 的 推送 模式 相似 ) 。 

俗称 彩信 的 多 媒体 消息 业务 (Multimedia Message Service, MMS) 是 SMS 和 增强 型 
SMS(EMS) 的 进一步 发 展 ,也 是 WAP 体系 的 承载 业务 之 一 。 此 外 ,WAP 还 可 以 支持 个 人 
信息 助理 (Personal Information Manager,PIM) 个 性 化 服务 和 流 媒体 点 播 .互动 游戏 等 丰富 
的 应 用 类 型 。 

在 网 络 应 用 中 ,是 否 可 将 信息 主动 推送 到 用 户 终端 上 ,不仅 关系 到 信息 能 否 被 用 户 及 时 
掌握 ,而 且 关 系 到 商业 模式 及 其 价值 。 例 如 ,许多 软件 厂商 想方设法 占领 用 户 计算 机 桌面 ， 
使 得 广告 等 内 容 可 以 强制 性 地 展现 出 来 ,获取 用 户 的 注意 和 点 击 , 谓 之 眼球 经 济 。 然 而 , 粗 
暴 的 , 非 自愿 性 的 推送 是 不 恰当 的 ,而 优雅 的 两 厢 情 愿 的 推送 则 可 以 增强 应 用 的 效果 ,如 : 
PushMail 可 提醒 用 户 立 即 处 理 新 到 达 的 邮件 ,手机 短信 、 彩 信 亦 然 ; 客户 端 软件 或 插件 可 
自动 抓 取 、 更 新 用 户 所 需要 的 新 闻 等 。 
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8.1 信息 编码 原理 


多 媒体 (Multimedia) 是 指数 字 化 的 人 体 可 感知 信息 ,包括 文本 (text)、 图 
形 (graphics)、 图 像 (image) 动画 Canimation) 、 音 频 (audio) 和 视频 (video) 等 ， 
面向 视觉 和 听觉 感官 。 其 他 诸如 触觉 、 嗅 党 .味觉 等 感知 的 数字 化 技术 尚 在 
研究 中 。 此 外 ,媒体 (media) 的 概念 中 还 包括 表示 媒体 (信息 编码 ) .显示 媒体 
(输入 输出 )、 存 储 媒体 和 传输 媒体 。 

多 媒体 信息 是 网 络 的 最 终 表现 形式 ,是 所 有 网 络 服务 的 目标 。 多 媒体 信 
息 具 有 数据 量 大 、 类 型 丰富 、 集 成 度 高 的 特点 ,对 承载 多 媒体 信息 传输 的 网 络 
提出 了 很 高 的 要 求 ,网 络 应 当 具备 宽带 传输 和 QoS 支持 能 力 , 能 够 满足 多 媒 
体 信 息 系统 的 实时 性 ,交互 性 需要 。 

多 媒体 网 络 的 关键 技术 由 两 个 方面 组 成 : 多 媒体 信息 的 编码 技术 ,可 以 
将 模拟 媒体 数字 化 ,并 且 在 保证 一 定 质量 的 前 提 下 尽 可 能 减 小 数据 量 , 以 有 
利于 网 络 的 高 效 传输 ; 多 媒体 网 络 的 设计 技术 ,可 以 针对 多 媒体 传输 的 技术 
特性 和 应 用 需求 ,发挥 网 络 优势 并 且 发 掘 技术 潜力 ,达到 多 媒体 信息 的 处 理 、 
传输 和 表现 的 最 佳 效 果 。 

多 媒体 信息 编码 (coding) 是 多 媒体 信息 在 网 络 系统 中 从 生成 到 表现 的 整 
个 过 程 中 的 重要 环节 。 如 图 8. 1 所 示 ,信息 编码 关系 到 数字 化 多 媒体 信息 的 
获取 和 压缩 ,是 其 他 后 续 过 程 的 基础 。 

多 媒体 信息 编码 由 两 方面 技术 组 成 : 一 是 对 采集 到 的 模拟 和 数字 信息 采 
用 数字 编码 方式 来 表达 ; 二 是 对 生成 的 数字 编码 进行 压缩 ,以 减 小 数据 量 , 有 
利于 存储 ,传输 和 处 理 。 

模拟 信号 的 数字 化 可 采用 PCM 等 A/D 转换 技术 ,如 声音 、 环 境 数据 。 
数字 信息 主要 是 指 文字 (汉字 、 英 文字 母 .数字 、 符 号 等 )、 图 形 和 图 像 传 感 器 
(如 CCD) 采 集 的 点 阵 数据 (色彩 、 亮 度 ) 。 
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模拟 | 模拟 | 
信息 编码 es 
bu | | 安全 -中 | 信道 = 网络 
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生成 与 发 送 网 络 传输 接收 与 处 理 5 
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图 8.1 信息 编码 环节 示意 


信息 编码 的 重点 是 数字 压缩 (compressing 技术。 数字 压缩 的 依据 主要 是 信息 的 数字 
化 表达 存在 一 定 的 宛 余 性 ,包括 空间 宛 余 .时 间 宛 余 、 编 码 完 余 、 结 构 元 余 . 知 识 宛 余 和 感官 
宛 余 。 

(1) 空间 元 余 。 空 间 元 余 一 般 存在 于 图 像 数 据 中 。 例 如 ,在 一 幅 图 像 中 ,一 些 局 部 区 域 
的 颜色 、 灰 度 值 比较 接近 ,形成 属性 相似 的 集合 ,就 具有 空间 (或 空域 ;上 的 强 相关 性 。 如 一 
个 16X16 的 图 像 块 , 共 256 个 数据 点 ,十 进 制 数值 在 122 一 129 之 间 , 每 个 数值 需要 用 8b 表 
示 , 总 共 需 要 占用 2048b, 而 如 果 表 示 为 以 122 为 基数 的 数值 ,每 个 点 位 只 需 用 3b 表示 , 共 
768b ,在 保持 原 有 信息 量 完全 不 变 的 前 提 下 ,数据 量 减少 了 62. 5%。 

利用 空间 元 余 的 编码 技术 主要 有 变化 编码 , 帧 内 预测 编码 等 。 

(2) 时 间 元 余 。 时 间 元 余 是 动态 视频 和 音频 数据 中 存在 的 元 余 。 相 邻 的 两 幅 图 像 一 般 
有 和 较 大 的 相关 性 ,音频 也 是 一 个 逐渐 变化 的 过 程 。 时 间 轴 上 前 后 两 个 相关 的 数据 集合 (如 相 
同位 置 的 图 像 块 ) ,可 能 是 完全 相同 的 ,或 只 是 产生 了 非常 小 的 变化 。 例 如 ,视频 中 往往 只 有 
一 个 物体 在 运动 ,而 其 他 背景 图 像 是 不 变 的 ,那么 可 以 参照 和 引用 前 一 时 间 的 数据 ,而 不 必 
进行 重复 ,从 而 在 总 体 上 减少 了 数据 量 ,被 称 为 时 间 压 缩 。 

帧 间 预 测 编码 方法 (运动 估计 和 补偿 ) 是 利用 时 间 宛 余 的 主要 编码 技术 。 

(3) 编码 元 余 。 编 码 宛 余 又 称 为 信息 粹 元 余 。 如 果 对 多 媒体 的 所 有 信息 元 素 都 用 相同 
rode 上 必然 存在 元 余 性 。 理 想 情 况 是 按照 每 个 元 素 信 息 粹 的 大 小 为 
其 分 配 相 应 的 二 进 制 比特 数 。 例 如 根据 每 个 数值 出 现 的 概率 来 分 配 , 出 现 的 概率 越 高 ,其 编 
ahi te op dy 

以 信息 量 观点 来 看 ,事件 概率 越 大 ,其 信息 量 越 小 ,其 占用 的 数据 量 也 应 该 越 小 (编码 长 
度 短 )。 设 图 像 点 阵 数 据 构 成 离散 符号 集 {zi) (i 二 1,…,n), 独 立 概 率 分 别 为 p(xi), 且 有 
2 p(xi)=1, 则 信息 粹 也 (x) 为 (以 b 为 单位 ): 


H(zx) = -Dp ) logz p(x;) 


在 空间 元 余 的 例子 中 ,符号 集 为 {122,…, 129), 假 设 各 符号 出 现 的 概率 均等 , 即 
p(xzi) 二 1/8, 炉 达到 最 大 值 logs8 二 3(b/symbol) ,与 空间 元 余 分 析 所 得 结果 完全 相同 。 当 
然 ,各 符号 出 现 的 概率 在 实际 应 用 中 并 不 相同 ,但 采用 编码 元 余 的 思想 ,就 可 以 使 数据 量 尽 
可 能 逼近 信息 灶 。 
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采用 编码 元 余 的 技术 主要 有 霍 夫 曼 编码 、 算 术 编 码 ,游程 编码 .二 进 制 算法 编码 和 基于 
上 下 文 的 箭 编码 等 。 

(4) 结构 元 余 。 结 构 元 余 是 指 图 像 本 身 构造 上 的 元 余 。 可 采用 轮廓 编码 、 区 域 分 割 等 
方法 ,一 般 为 有 损 压缩 技术 。 

(5) 知识 元 余 。 知 识 元 余 指 人 们 已 知 的 某 些 图 像 所 具有 的 先 验 知识 、 背 景 知识 。 如 果 
某 些 规律 可 以 从 这 些 知识 中 获取 , 则 相关 数据 就 成 为 元 余 信息 。 

(6) 感官 元 余 。 感 官 元 余 又 称心 理 感觉 元 余 , 指 人 类 听觉 和 视觉 感官 无 法 察觉 的 信息 。 
例如 听觉 系统 对 3 一 5kHz 的 声音 最 敏感 ,那么 在 这 个 范围 之 外 的 频率 信息 对 人 类 来 说 就 
不 太 重 要 , 变 成 元 余 信 息 ; 人 类 的 视觉 系统 对 亮度 比 色 度 更 敏感 ,对 变换 后 的 低频 信号 比 高 
频 信号 更 敏感 ,能够 分 辩 的 图 像 灰 度 等 级 约 为 2 个 等 ,利用 这 些 特点 可 以 采用 有 针对 性 的 
量化 方法 ,有 效 减少 数据 量 。 由 于 基于 感官 元 余 的 编码 舍 去 了 一 些 信息 ,因此 是 一 类 有 损 压 
缩 技术 。 主 要 方法 有 差分 脉冲 调制 编码 .变换 编码 ,标量 量化 与 矢量 量化 编码 模型 编码 ,多 
分 辩 率 编码 等 。 

如 图 8. 2 所 示 ,编码 系统 由 发 送 方 的 编码 器 (coder) 和 接收 方 的 解码 器 (decoder) 组 成 ， 
编码 器 包括 分 析 模 块 .量化 模块 ,二进制 编码 模块 ,解码 器 则 包括 对 应 的 二 进 制 解码 模块 、 反 
量化 模块 和 综合 模块 。 分 析 模 块 通常 采用 预测 编码 和 变换 编码 。 量 化 模块 有 两 种 量化 类 
型 ; 均匀 量化 和 非 均匀 量化 。 二 进 制 编码 模块 一 般 采 用 编 码 技术 。 
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图 8.2 编码 系统 组 成 结构 


8.2 信息 编码 算法 


8.2.1 霍 夫 曼 编码 


霍 夫 曼 编码 (Huffman Coding) 是 消除 编码 元 余 的 最 常用 方法 ,也 常见 于 其 他 信息 系统 
编码 方案 中 。 霍 夫 曼 编码 的 理论 依据 是 可 变 字 长 理论 ,对 出 现 概率 较 大 的 符号 用 较 短 的 字 
长 ,反之 用 较 长 的 字 长 。 霍 夫 曼 码 被 称 为 最 优 码 , 因 为 对 于 给 定 的 符号 集 和 概率 模型 , 找 不 
到 任何 其 他 比 霍 夫 曼 码 更 短 的 平均 字 长 。 

对 于 ?个 不 同 概率 的 信息 符号 ,各 符号 的 初始 编码 均 为 空 ,每 次 编码 长 度 增 加 1b, 往 高 
位 延长 , 霍 夫 曼 编码 算法 各 步骤 如 下 (如 图 8. 3 所 示 ) 。 

(1) 将 所 有 信息 符号 按 概 率 大 小 排序 。 

(2) 两 个 最 小 概率 对 应 的 符号 分 别 延长 编码 0 和 1( 对 已 合并 的 符号 均 延 长 相同 比特 )， 
并 将 概率 相 加 、 符 号 合并 。 
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(3) 若 最 后 只 剩 下 两 个 符号 ,分 别 延 长 编码 0 和 1 ,算法 结束 ; 否则 返回 步骤 (1) 继 续 。 

由 于 两 个 最 小 概率 的 符号 可 任意 分 配 0 和 1 ,概率 相同 的 两 个 符号 也 可 任意 排序 ,因此 
对 同一 个 信 源 的 霍 夫 曼 编码 并 不 唯一 ,但 得 到 的 平均 码 长 相同 。 一 旦 获得 霍 夫 曼 编码 后 , 编 
码 和 解码 ( 见 示例 程序 ) 可 通过 简单 的 查 表 方 法 实现 。 


Symbol sym- tab[m] = {So,S,, …}; 
binary huff ~ tab[m, n] = {{0}, {1,1}, …}; 
Symbol decoder() { 
int i,j=0; 
fori=0tom-2do 
if (next ~ bit()== huff — tab[i, j]) 
then return(sym— tab[i]); 
else j++; 
return(sym ~- tab[m— 1]); 
}; 


霍 夫 曼 编码 是 无 损 压 缩 方法 ,编码 没有 歧义 性 ,只 有 唯一 的 解码 方法 ;每 个 符号 的 解码 
并 不 依赖 其 他 符号 ,是 一 种 即时 码 。 
霍 夫 明 编码 ”符号 ”概率 . 嵌 根 


0 So 12 a 
11 Si 2 


0 


100 S: WO 


S/18{S»S45s} Dt 

1010 S$ M2 5 SI 100 
EE ss} 5 划 

1 4,S5 3 110 

1011 S4 1/36 一 一 S$ 1 


图 8.3 霍 夫 曼 编码 示例 


8.2.2 游程 编码 


游程 编码 (Run Length Coding) 又 称 为 游程 长 度 编码 ,是 一 种 利用 空间 宛 余 压 缩 多 媒体 
数据 的 方法 ,属于 统计 编码 类 。 

游程 编码 比较 适合 二 值 图 像 ,每 个 像素 用 0 和 1 表示。 这 样 ,原始 图 像 数 据 序 列 就 必然 
由 交替 出 现 的 连续 0 和 连续 1 组 成 ,例如 ,1111001111111011。 游 程 L(0) 就 是 连续 0 的 个 
数 ,L(1) 就 是 连续 1 的 个 数 , 均 为 大 于 等 于 1 的 整数 ,那么 ,游程 编码 就 是 L(0) 和 工 (1) 的 交 
叉 排 列 , 例 如 ,42712。 显 然 ,这 一 变换 是 可 逆 的 ,而 且 具 有 唯一 性 。 

游程 编码 是 图 像 的 无 损 压 缩 方 法 ,还 可 以 用 霍 夫 曼 编 码 进一步 压缩 (长 度 值 用 霍 夫 曼 编 
码 表示 ) 。 但 游程 编码 对 于 连续 性 不 足 的 图 像 可 能 产生 编码 后 数据 量 增加 的 情况 ,应 与 其 他 
图 像 编 码 方法 结合 使 用 。 


8.2.3 算术 编码 


算术 编码 (Arithmetic Coding) 是 用 于 视频 的 压缩 方法 ,采用 实数 表达 而 非 通常 用 的 整 
数 ,是 一 种 能 够 和 近 入 极限 的 最 优 算法 。 
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算术 编码 的 基本 思想 是 从 整个 信 源 的 符号 序列 出 发 ,采用 递 推 形式 进行 连续 编码 ,整个 
信 源 符号 序列 使 用 一 个 算术 码 字 表示 ,而 码 字 为 介 于 0 和 1 之 间 的 实数 。 码 字 所 代表 的 实 
数 区 间 , 随 着 信 源 符号 序列 中 符号 数目 的 增加 ,区 间 长 度 不 断 减 小 。 

设 符号 集 {So ,Si,…,S;,…) 对 应 的 概率 为 {Po ,Pi,…,Pi,…), 应 有 》) Pi;=1。 各 符 
号 对 应 的 积累 概率 Ps 是 指 >) P; ,j= 二 0,…,i 一 1, 其 中 Pw 二 0。 由 此 ,得 到 各 符号 S; 的 初 
始 编 码 区 间 为 [Ps, Pe 十 Pi)。 

对 输入 符号 序列 ,依次 编码 各 个 符号 (反复 执行 编码 过 程 ) ,直到 遍历 所 有 符号 。 算 术 编 
码 过 程 可 描述 为 如 下 的 一 个 递归 过 程 。 

(1) 初始 状态 

编码 点 变量 : P. 二 0.0 

编码 区 间 变 量 : P=1.0 

(2) 编码 过 程 

新 编码 点 : P。==P. 十 PX P。 

新 编码 区 间 : P=PXP; 

最 终 输 出 P. 即 为 符号 序列 的 算术 编码 结果 。 

【 例 8. 1〗 有 信和 源 符号 为 {So ,Si ,S: ,Ss:} ,符号 概率 分 别 为 {0.1, 0.4, 0.2, 0.3), 据 此 ， 
可 把 区 间 [0,1) 分 成 4 个 对 应 的 初始 编码 区 间 [0, 0. 1)、[0. 1, 0.5)、[0.5, 0.7)、[0.7, 1), 如 
表 8. 1 所 示 。 


表 8.1 符号 概率 和 编码 区 间 关系 示例 


符号 Si So Si Sz S; 
符号 概率 已 Po=0.1 已 一 0.4 P: 一 0.2 P: 一 0.3 
积累 概率 P。 Pu 一 0.0 Pu 一 0.1 Pa=0.5 Pas=0.7 
初始 编码 区 间 [Ps ,Ps 十 P;) [0.0, 0.1) [0.1, 0.5) [0.5, 0.7) [0.7, 1.0) 


车 输入 符号 序列 S, So Ss Su Ss S: Si : 对 于 第 一 个 符号 S: ,其 编码 区 间 为 [0. 5，0.7); 对 
于 第 二 个 符号 So ,初始 编码 区 间 为 [0,，0. 1) ,根据 算法 ,应 把 相对 于 前 一 符号 区 间 [0. 5， 
0.7) 的 [0, 0.1) 作 为 新 的 区 间 ( 相 当 于 前 一 区 间 的 第 一 个 1/10 区 间 ) , 即 为 [0. 5, 0. 52); 依 
次 类 推 。 相 当 于 根据 符号 在 初始 编码 区 间 的 位 置 ,从 [0, 1) 中 取出 该 段 区 间 , 然 后 扩展 到 
[0, 1), 供 下 一 个 符号 在 此 基础 上 进行 编码 。 具 体 编码 过 程 如 图 8. 4 所 示 。 

例 8. 1 的 解码 过 程 实际 上 与 编码 过 程 是 类 似 的 。 当 接收 到 编码 0. 5143876 后 ,判别 其 
位 于 区 间 [0.5, 0.7) ,说 明 第 一 个 符号 为 5;; 把 S* 的 区 间 进行 扩展 ,编码 相当 于 位 于 [0， 
0.1) 的 区 间 , 说 明 第 二 个 符号 为 So; 同 理 可 得 其 他 符号 。 

在 算术 编码 中 ,常用 小 数 的 二 进 制 表示 法 ,例如 : 

3/8=0.375=0X21+1X2?+1xX27 

则 3/8 的 三 进 制 可 以 用 系数 表示 为 011。 

【 例 8.2】 设 信 源 字母 表 由 a、b.c 等 3 个 符号 组 成 ,概率 分 别 为 PCa) 二 1/2,P(b) 二 1/4， 
P(c) 二 1/4, 则 概率 区 间 分 别 应 为 [0, 1/2)、[1/2, 3/4)、[3/4, 1)。 

若 输入 符号 序列 为 abaca, 编 码 过 程 见 图 8. 5。 
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信 源 符号 一 & 及 各 
输入 省 - 3 本 
! 0 二 一 一 一 :1 
DEE SR 
So " ee 
0.51 ME ~ ~-10.52 
5, CO ! 
0514F ee C02 
0.514! 1 051465 
5 i ed 
0.5143 上 -7 一 一 1 一 ~~10.51442 
Ss Ut 
0.514384 = 二 了 一 + 一 -一 051442 
5 Ee ee 
输出 一 0.5143876w 0.514402 
图 8.4 算术 编码 过 程 示例 一 
六 b & 输入 ”下限 上 限 输出 
T= 三 
0 4 pe! 0=0.000000 1=1.000000 
1 ri 
| = 2= 
0 CS 1/2=1 0 
i 
Pe b a 01 
14! i 3/8 1/4=01 3/8=011 
| Ee 
a 1/4=010 5/16=0101 010 
1/4 二 二 -ap i 45116 
a lt © 19/64=010011 5/16=0101 010011 


abaca 


19/64 El 28 a 


abacb _ abace 


19/64= Ol OP 39/128=0100111 0100110 
(末尾 0 表示 最 后 符号 为 8, 防止 


义 性 ) 


图 8.5 算术 编码 过 程 示例 二 


编码 中 有 一 个 现象 值得 注意 : 序列 ab 和 aba 的 编码 都 是 1/4 二 01, 存 在 二 义 性 ,所 以 ， 
当 最 后 一 个 字母 为 a 时 ,可 在 编码 后 附加 0 来 区 分 。 


解码 时 , 收 到 的 第 一 个 比特 0, 位 于 区 间 [0,，1/2) ,可 解 出 第 一 
区 间 位 于 前 一 区 间 的 字母 b 位 置 ,所 以 第 二 个 字母 为 b; 依次 解码 


比特 1 后 ,得 01=1/4, 该 
后 续 字 母 。 


个 字母 为 a; 收 到 第 二 个 


在 算术 编码 的 实际 运用 中 ,最 常用 的 方法 是 二 进 制 算术 编码 , 即 先 把 输入 数据 转换 为 二 
进 制 符号 串 ( 二 值 化 ) ,再 进行 算术 编码 。 两 个 输入 符号 中 ,出 现 概率 较 大 的 称 为 MPS, 另 一 


个 称 为 LPS ,两 者 概率 之 和 为 1 。 


算术 编码 可 以 有 静态 或 自 适应 两 种 模式 。 静 态 算术 编码 的 符号 概率 固定 ; 自 适应 算术 


编码 的 符号 概率 是 根据 编码 时 上 下 文中 符号 
源 符 号 概率 的 过 程 就 称 为 建 模 (Modeling) 。 


出 现 频率 进行 动态 调整 ,而 在 编码 期 间 估计 信 
由 于 符号 概率 对 算术 编码 十 分 重要 ,但 很 难 预 


知 精确 的 信 源 概率 ,因此 ,动态 建 模 就 成 为 决定 编码 效率 的 关键 。 
算术 编码 对 输入 数据 没有 分 组 编码 的 要 求 , 适 用 于 自 适应 模式 。 因 此 ,算术 编码 在 


JPEG、JBIG、H. 263 等 标准 中 得 到 广泛 应 用 ,JPEG2000 中 也 使 用 了 基于 上 下 文 的 二 


术 编码 方法 。 


进 制 算 
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8.2.4 ZIP 算法 


ZIP 是 一 种 非常 常用 的 跨 操 作 系 统 平台 的 数据 压缩 算法 ,在 Internet 上 十 分 流行 , 例 
如 ,作为 电子 邮件 的 附件 进行 信息 交换 、 进 行文 件 下 载 等 共享 业务 。 数 据 压 缩 的 好 处 既 明 显 
又 直接 ,可 以 有 效 降 低 传输 数据 量 ,节省 带宽 和 时 间 。 

由 于 压缩 对 象 主要 是 文档 、 程 序 等 ,显然 ,ZIP 必 为 无 损 压 缩 算 法 。ZIP 算法 由 Jacob 
Ziv 和 Abraham Lempel 在 1977 年 首次 提出 ,因此 也 称 L277。 

L277 算法 的 主要 思想 是 基于 滑动 窗口 缓冲 区 处 理 机 制 , 并 根据 以 下 假设 : 一 个 文字 流 
(或 数据 流 ) 中 的 词 或 词组 (或 数据 模式 ) 有 可 能 重复 。 这 样 , 当 所 谓 的 重复 发 生 时 ,重复 部 分 
将 用 较 短 的 代码 表示 ,数据 量 就 会 由 此 减少 ,达到 “压缩 * 的 目的 。 重 复 性 越 高 , 则 压缩 效果 
越 好 。 

算法 运行 时 ,程序 顺序 扫描 被 压缩 的 文件 ,寻找 “重复 部 分 ,并 同步 地 动态 构造 代码 表 ， 
以 便 取 代 重 复数 据 。 代 码 还 被 用 以 捕获 新 的 重复 序列 ,当然 ,也 被 解压 程序 用 以 恢复 原始 
数据 。 

先 从 一 个 简单 例子 着 手 考察 LZ77 算法 的 基本 工作 原理 。 设 有 字符 串 : 


the brown fox jumped over the brown foxy jumping frog 


包括 空格 在 内 ,原始 字符 串 长 度 为 53B, 即 424b。 

首先 ,将 所 有 8b 字符 附加 比特 1, 转 换 为 9b 模式 ,以 便 解压 程序 了 解 凡是 以 比特 1 开 
头 的 8b 编码 为 一 个 未 经 压缩 的 原始 字符 。 

接着 压缩 程序 从 头 开 始 扫 描 字 符 串 ,结果 捕捉 到 两 个 重复 串 “the brown fox” 和 
“_jump”。 

设计 编码 结构 为 0MPL。 其 中 二 进 制 数值 0 用 以 区 别 于 原始 字符 编码 ; M 为 1b 的 编 
码 类 型 ,表示 类 型 0 和 类 型 1; P 为 指针 ,指示 重复 了 P 个 字符 前 的 字符 串 ; 工 为 重复 串 的 
长 度 。 类 型 0 的 编码 中 ,P 和 工 分 别 为 8b 和 4b; 类 型 1 的 编码 中 ,P 和 工分 别 为 15b 和 
6b, 可 用 以 表示 隔 得 更 远 或 长 度 更 长 的 重复 串 。 该 编码 结构 也 可 表达 为 三 元 组 二 0xs 二 
XP < 

如 图 8.6 所 示 , 由 于 第 二 次 出 现 的 字符 串 “the brown fox” 重 复 了 26 个 字符 前 的 字符 
串 ,长 度 为 13 个 字符 , 则 可 采用 编码 类 型 0 编码 为 00"> 二 26s> 二 13, 记 。 同 理 , 重 复 字 
符 串 “_jump” 编 码 为 <00>> 一 274>> 二 54 记 。 

输入 : 


the brown fox jumped over the brown foxy in g frog 


.26 一 27 
输出 : 
the brown fox jumpedover O0026al34 y O00p27s5ui ng frog 


图 8.6 L277 数据 压缩 示例 


算法 输出 的 压缩 数据 为 35X (1 十 8) 十 2X (2 十 8 十 4) 二 343b 二 424b, 压 缩 比 为 424 : 343 索 
1.24, 达 到 了 数据 压缩 的 目的 。 解 压缩 的 过 程 非常 简单 ,只 需 将 1 开头 的 9b 编码 去 掉 1 后 
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还 原 为 8b 原始 字符 , 若 为 0 开头 的 编码 , 则 依据 编码 三 元 组 规则 ,还 原 出 原始 字符 串 。 
L277 数据 压缩 算法 及 其 变种 采用 双 缓 冲 区 扫描 法 。 如 图 8.7 所 示 , 一 个 前 视 缓冲 区 依 
次 装 下 工 个 待 处 理 字符 , 另 一 个 滑动 历史 缓冲 区 记录 最 后 N 个 被 处 理 的 字符 。 


未 匹配 单字 
N 符 或 匹配 | 工 一 | 
字符 串 a 
抛弃 一] 滑动 历史 缓冲 区 前 视 缓 剖 区 请 一 一 输入 原文 
the brown… 
未 匹配 单字 符 
CD 匹配 字符 串 
= 输出 压缩 数据 -= 
39 一 —13 一 一 | 
he brown fox jumped 和 TE 
| over the brown foxy -jumping fiog 输入 原文 
编码 
the brown fox jumped over<00,26,13>y 
—39 一 —13—=| 
foxj d 本 
the br 一 志 全 ne ot ing_frog 上- 一 输入 原文 


the brown fox jumped over<00,26,13,>y<00,27,5> 


图 8.7 LZ77 双 缓冲 区 扫描 法 及 示例 


算法 按 如 下 步骤 执行 。 

(1) 从 前 视 缓冲 区 的 第 一 个 字符 开始 ,搜索 在 滑动 历史 缓冲 区 中 出 现 的 长 度 不 低 于 2 
的 匹配 字符 串 。 

(2) 如 果 找 不 到 匹配 字符 串 , 则 将 前 视 缓冲 区 中 的 第 一 个 字符 变换 为 9b 字符 输出 , 同 
时 该 字符 被 推 人 滑动 历史 缓冲 区 ,将 滑动 历史 缓冲 区 中 最 老 的 字符 挤 出 缓冲 区 。 返 回 
第 (1) 步 。 

(3) 如 果 找 到 了 匹配 字符 串 ,算法 将 使 匹配 的 字符 串 最 长 ,并 将 该 重复 字符 串 用 一 个 三 
元 组 编码 取代 。 

(4) 如 果 重 复 字符 串 的 长 度 为 氏 , 则 滑动 历史 缓冲 区 中 最 老 的 K 个 字符 被 挤 出 , 刚 被 
编码 的 K 个 字符 被 转 信 滑动 历史 缓冲 区 。 

(5) 如 果 所 有 字符 被 处 理 完 , 算 法 结束 ,否则 返回 第 (1) 步 。 

LZ77 算法 压缩 速度 快 ,有 一 定 的 自 适应 能 力 , 但 由 于 算法 采用 有 限 长 度 的 窗口 扫描 文 
本 ,可 能 会 因此 遗漏 潜在 的 、 较 长 的 重复 串 , 从 而 降低 压缩 效率 。 虽 然 窗口 可 以 被 增 大 ,但 代 
价 是 搜索 时 间 变 长 ,同时 指针 编码 的 长 度 也 要 变 长 以 满足 长 距离 跳 转 的 需要 ,有 时 候 反 而 会 

思考 : 有 哪些 因素 可 影响 L277 的 数据 压缩 比 ? LZ77 可 以 用 于 非 字 符 型 二 进 制 数据 的 
压缩 吗 ? 


8.2.5 离散 余弦 变换 
离散 余弦 变换 (Discrete Cosine Transform,DCT) 是 一 种 变换 编码 方法 ,用 于 图 像 的 有 


148 
2 版 ) 


损 压 缩 。 变 换 编码 的 基本 思路 是 : 将 原始 信号 的 各 个 样 值 从 通常 的 欧 几 里 德 几 何 空 间 ( 空 
间 域 ) 映 射 变 换 到 另 一 个 向 量 空间 (变换 域 或 频 域 ) ,产生 变换 系数 ,再 对 变换 系数 进行 编码 。 
因为 变换 系数 所 需 数据 量 远 小 于 原始 数据 ,可 使 编码 后 的 码 率 得 以 显著 降低 。 
信号 的 映射 变换 采用 正 交 变 换 技术 。 如 
图 8.8 所 示 , 设 x 和 xs 是 两 个 相 邻 的 数据 样 
本 ,每 个 样本 有 2 二 8 个 幅度 等 级 ,可 用 3b 编 
码 。 两 个 样本 的 联合 事件 共有 8X8 王 64 种 可 
能 性 ,可 得 以 xz, 和 zx 为 数 轴 的 二 维 空间 离散 点 
的 分 布 图 。 由 于 绝 大 部 分 声音 .图 像 等 信号 , 相 
1 了 7 了 34438 也 邻 样本 较为 近似 ,出 现 相 近 幅 度 等 级 的 概率 较 
大 , 即 容易 出 现 zi 一 的 情况 ,从 而 在 图 中 表现 
为 事件 集中 发 生 在 45" 线 附近 阴影 区 的 特征 。 
若 对 这 组 原始 数据 进行 正 交 变换 ,相当 于 把 坐标 系 旋转 45 ,成 为 yy 和 y:。 可 以 发 现 ， 
信息 相关 性 越 强 ,在 mw 上 表现 为 数值 越 大 ,而 y 上 的 数值 越 小 ,数据 在 yi 方向 发 生 较 大 范 
围 变 化 时 ,在 y; 方向 只 有 微小 的 变化 ,这 意味 着 变量 mw 和 > 在 统计 上 具有 相互 独立 性 。 
因此 ,通过 正 交 变换 ,能够 使 数据 间 的 相关 性 大 大 减 小 ,便于 进一步 的 数据 编码 处 理 。 
DCT 的 实质 正 是 通过 线性 变换 XX 二 甩 (x) ,将 一 个 N 维 向 量 x 变换 为 变换 系数 向 量 X。 
理 称 为 DCT 变换 核 ,对 第 k 行 第 n 列 的 单个 元 素 (k,n 二 0,1,…,N 一 1) ,定义 


H(k,n) 一 以 feos 下 


其 中 co= ,ww=1(A>0)。DCT 是 线性 正 交 变 换 , 是 可 逆 的 。 
在 图 像 编 码 中 , 把 图 像 分 成 独立 的 子 块 ,以 子 块 为 单位 进行 二 维 DCT 变换 。 二 维 
MX M 像素 点 的 DCT 变换 公式 为 ( 设 FCz,y) 为 像素 值 ) 


况 
7 
6 
5 
4 
3 
2 


Be 


图 8.8 正 交 变换 原理 


M-1 M-—1 
a (27+ Dur,. (2y+ Dur 
Fl(u,v) MCWOW 2 2 Cerys 2M cos 2M 
道 变 换 IDCT 公式 为 
M-1 M-1 
- i (2z 十 1) (2y 十 1) 
Crzsy) = RWC > >) Flu,v)eos 3 “cos 2 Se 


u=0 v=0 


其 中 (zx,y) 和 (u,v) 分 别 是 图 像 子 块 和 DCT 空间 坐标 ,可 变 系数 C(0)==1/ /2 ,C(i)==1(i>0)。 
称 F(0,0) 一 二 对 半 f(x,y) 为 直流 系数 ,其 他 FGuwo) 为 交流 系数 。 


8.3 多 媒体 信息 编码 标准 


8.3.1 字符 编码 


字符 (文字 ) 是 信息 表示 的 最 重要 、 最 基本 的 形式 。 
由 于 自然 语言 的 多 样 性 ,字符 的 类 型 很 多 ,例如 中 文 (简体 和 繁体 )、 英 文 (大 写 和 小 写 )、 
日 文 ( 平 假名 和 片 假名 ) 等 。 除 此 以 外 ,文本 中 还 包括 必 不 可 少 的 空格 ,标点 ,符号 ,以 及 换行 
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符 (CR/LF) 、 结 束 符 (EOT) 、 制 表 符 (TAB) 删除 符 CDEL/VBS) 等 控制 字符 。 一 些 特殊 的 控 
制 字符 (如 标题 开始 .文本 开始 、 转 义 符 等 ) 在 早期 的 面向 字符 的 电文 发 送 系统 中 经 常 被 通信 
规程 用 于 简单 的 会 话 管 理 。 

字符 编码 可 为 5b、6b、7b 和 8b, 汉 字 编 码 一 般 为 16b。Internet 上 最 常用 的 是 ASCII 
码 、Unicode 码 (UTF-7 和 UTF-8), 有 些 计 算 机 采用 EBCDIC 码 , 中 文 编码 标准 有 简体 
GB 2312 和 GB 18030、 繁 体 Big5 等 。 

ASCIIE( American Standard Code for Information Interchange) 编码 和 EBCDIC 
(Extended Binary Coded Decimal Interchange Code) 编 码 分 别 如 表 8. 2 和 表 8. 3 所 示 。 


表 8.2 ASCII 码 编码 规则 (7b) 


Ox |INULI|ISOH|STX|ETX|EOT|IENQ|ACK|BEL | BS |TAB| NL | VT|NP|CR|SO|SI 


lx |1DLE| DC1 | DC2 | DC3 |DC4 INAK|SYN|ETBI|ICAN| EM |SUB|ESC| FS | GS | RS | US 


2x |S | ! "|# |1$|1%|& | 和 . 小 
3x 0 1 2 3 4 5 6 和 8 9 $ < = ? 
4x @ A B C D E F G H J K L M N O 
blll RI SIT | | | 人 lI | | 
6x a b c d e f g h i j k 1 m 0 
7x p q 六 s t u v w 天 y 六 ‘ | } ~ |DEL 


表 8.3 EBCDIC 码 编 码 规则 (8b) 


1x DLE | DC1 | DC2 | DC3 | OSC |NEL| BS |ESAICAN| EM |PU2| SS3| FS | GS | RS | US 
2x PAD|HOP|BPH |INBH| IND | LF |ETB|ESC |HTS| HTJ|VTS|PLD |PLU |ENQ| ACK|BEL 
3x DCS | PU1 | SYN| STS |CCH | MW | SPA | EOT | SOS |SGCI| SCI | CSI | DC4 INAK| PM |SUB 


4x SP INBSP| é& 各 o a 下 到 人 ni [ < ( 二 ! 
Bx & é € 已 记 i i i i B ] $ * ) ; 

6x 区: 司 贾 :到 区 :三 攻 碍 攻 : 到 面 . 利 区 避 区 -可 本 | |_|>|? 
人 0 E E E E i i i I 井 @ = 

8x 0 a b c d 2 f g h i < > 0 y ,小 主 
9x j k 1 m n o p q r E3 4 I 
Ax ~ s 家 u v Ww 和 y 3 i 6 B Y pb ® 
Bx 区 | 省 稚 | 和 中 全 | 和 妈妈 | 着 ' el | ” | 
Cx { Ai|B | DIEIEFIG| HI 1 TISHY SS | |& |& 

Dx } 】 你 ||MINIG| Plal|Rl? 站 | a|l a |y 
Ex 二 医 到 医 : 到 医 国 区, 胃 攻 者 医 司 医 醒 医 本 医 久 区 二 区" 司 区: 司 医 :可 攻 :到 莉 *: 
Fx 0 避 医 恒 医 ， 5 | 6 El 到 区 zi | 商 | 站 | 让 | 让 |sPC 


不 同 的 计算 机 系统 可 能 采用 不 同 的 编码 标准 ,因此 ,在 网 络 上 进行 数据 交换 ,应 约定 并 
遵循 同一 编码 规则 。 而 实际 的 情况 往往 十 分 复杂 ,不 仅 限于 端 对 端 * 双 方 认可 ”那么 单纯 ,还 


150 
络 协议 与 网 络 安全 (第 2 版 ) 


有 多 对 多 通信 的 需要 ,此 外 ,网 络 系统 中 可 能 存在 基于 字符 的 通信 设备 或 一 些 早期 开发 的 网 
关 、 代 理 设备 ,需要 考虑 在 各 种 条 件 下 是 否 所 有 编码 字符 都 能 够 透明 穿越 网 络 , 而 不 会 因为 
一 些 控制 字符 而 对 中 继 网 络 的 通信 造成 影响 。 

Base64 就 是 一 种 电子 邮件 系统 的 常用 编码 技术 ,可 以 将 任意 二 进 制 数据 转换 成 可 打印 
字符 ,从 而 最 大 限度 地 避免 编码 的 二 义 性 问题 。 

Base64 编码 由 65 个 可 打印 字符 组 成 ,其 中 “二 ”用 于 填充 (pad), 其 他 2 一 64 个 字符 可 
以 用 6b 来 编码 ,如 表 8.4 所 示 。 


表 8.4 Base64 编码 规则 (6b) 


L 
H x0 | xl x2 x3 x4 x5 x6 x7 x8 动 | 天 | 开 | 下 | 三 | 理 | 亚 
Ox A B C D E F G H I K L M N O 路 
Lx Q R S 于 U V Ww X Y Zz a b 他 d e f 
2x g h i j k 1 m n o p q r Ss t u V 
3x w 和 y Zz 0 1 2 3 4 5 6 7 8 9 乾 / 


如 图 8.9 所 示 ,Base64 先 将 任意 8b 数据 划分 为 6b 一 组 ,再 查 表 对 应 到 Base64 编码 规 
则 的 可 打印 字符 ,这 些 字 符 可 以 进一步 采用 ASCII 码 或 EBCDIC 码 进行 编码 并 传输 。 显 
然 ,采用 Base64 编码 将 会 增加 数据 量 。 


-一 1B 一 = 
mu 数据 | [| [| [[ [JI 1 | 
ob] ob] 6b oo 加 | 
ER [ER lBaseed| Ba [Bas 
人 es | | | 
可 打印 可 打印 可 打印 可 打印 可 打印 
字符 字符 字符 字符 字符 
EE 
编码 编码 编码 编码 编码 
i 
传输 数据 | ”1B 1B lB | i1B 1B 


图 8.9 Base64 编码 流程 


例如 ,有 3B(24b) 原 始 数据 00100011,01011100,10010001(0x23,0x5c,0x91) , 按 6b 一 
组 划分 为 001000,110101,110010,010001 共 4 组 , 查 表 产 生 4 个 可 打印 字符 IIyR ,然后 可 
采用 一 定 的 编码 标准 进行 编码 和 传输 ,以 ASCII 码 为 例 (bit; 一 0) ,编码 后 进行 传输 的 数据 
为 01001001,00110001,01111001,01010010。 接 收 方 解 码 的 方法 为 以 上 过 程 的 逆 过 程 。 

实际 上 ,在 计算 机 网 络 诞生 以 前 ,字符 编码 技术 就 已 经 得 到 运用 ,例如 著名 的 莫 尔 斯 电 
码 (Morse Code) ,主要 应 用 于 电报 传输 ,非常 适合 当初 技术 简单 的 无 线 通 信 。 虽 然 莫 尔 斯 
电码 已 经 完全 退出 历史 舞台 ,但 了 解 其 基本 技术 对 于 理解 编码 技术 以 及 解读 历史 事件 .阅读 
文学 作品 都 有 神 益 。 
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英 尔 斯 电码 采用 长 音 “ 咬 (可 用 划 线 “一 ”书写 ) 和 短 音 “ 嗜 "(可 用 圆 点 *。 ”书写 ) 的 组 
合 , 表 示 各 个 字符 ,字符 间 用 短暂 停顿 隔离 ,编码 如 表 8. 5 所 示 。 
表 8.5 莫 尔 斯 电码 编码 


字符 电码 字符 电码 字符 电码 字符 电码 字符 电码 

A 一 B 一 c | = 一 D 一 E 

F 一 G | —— H I J 一 一 一 
K 一 "一 四 一 M 一 一 N — O | 一 一 一 

P 一 一 Q | 一 一- 一 | a 一 S 十 一 

U 一 V 一 W -一 xx| -=-…- |Y| = 一 一 
学 二 1 2 ee ee 4 eeee 一 

| i 6 一 - 避 5 7 二 .二 8 9 

0 es / 一 。— 十 |. 一。 一 。 一 一 一 和， |. 一 一 ， 一 
一 一 ee 一 学 一 一 ( 一 一 一 ) “六 。 一 一 。 一 § 一 一 一 一 
"” |。 一 。 一 。 是 二 一 。 一 。 一 。 $ 一 一 

最 有 名 的 例子 是 在 紧急 的 ,特殊 的 情况 下 ,可 以 发 出 "三 短 -三 长 -三 短 ”( 即 咬 咬 咬 - 哄 噶 


噶 - 咬 咬 咬 ) 信 号 ,用 以 传递 出 国际 通行 的 "SOS? 求 救 信息 。 
8.3.2 静态 图 像 编码 


静态 图 像 是 多 媒体 信息 中 最 常见 的 信息 类 型 之 一 。 一 幅 数字 化 的 图 像 是 由 矩阵 式 像素 
点 构成 ,每 个 像素 点 的 属性 可 采用 不 同 的 方法 来 描述 。 非 彩色 图 像 是 由 白色 ,不 同等 级 的 灰 
色 和 黑色 组 成 ,对 光谱 各 波长 的 反射 没有 选择 性 ,是 中 性 颜色 ; 彩色 图 像 (物体 ) 则 对 光谱 具 
有 波长 选择 性 。 

一 个 能 发 出 光波 的 物体 为 有 源 物体 ,颜色 由 物体 发 出 的 光波 决定 ,通常 是 由 三 基色 红 
(Red) . 绿 (Green) 和 蓝 (Blue) 按 不 同比 例 合成 ,构成 一 个 三 维 的 RGB 矢量 空间 ,并 被 称 为 
相 加 混 色 模型 ; 而 不 发 光 的 物体 为 无 源 物体 ,其 颜色 由 物体 吸收 或 者 反射 的 光波 决定 ,是 由 
青 (Cyan) \、 品 红 (Magenta) 和 黄 (Yellow) 按 不 同比 例 合成 (例如 颜料 的 调配 ), 称 为 CMY 相 
减 混 色 模 型 ,增加 单独 的 黑色 (Black) 后 也 称 CMYK。CMY 颜色 模型 常用 于 印刷 、 打 印 领 
域 ,在 数字 图 像 处 理 中 较 少 用 到 。 

颜色 还 具有 亮度 (Luminance) ,色调 (Hue) 和 饱和 度 (Saturation)3 个 特性 , 据 此 来 描述 
颜色 的 模型 称 为 HSL 模型 。 亮 度 是 颜色 的 明暗 程度 ,与 色光 所 含 能 量 有 关 ; 色调 指 颜色 的 
类 别 , 由 光谱 分 布 决定 ; 饱和 度 是 指 色调 深浅 的 程度 (俗称 色彩 是 否 鲜艳 ), 单 色光 中 挫 入 的 
白光 越 多 则 饱和 度 越 低 。 色 调和 饱和 度 合 称 为 色 度 (Chromaticity)。 

由 于 人 眼 视觉 系统 对 色 度 信号 的 敏感 程度 不 如 亮度 信号 ,因此 将 亮度 和 色 度 独立 表示 
是 降低 数据 量 的 一 种 途径 。 例 如 YUV 表示 法 ,Y 是 亮度 信号 ,Y 信和 号 分 量 构成 黑白 灰 度 
图 ,与 用 U、V 信和 号 构成 的 另外 两 幅 单 色 图 相互 独立 ,分 别 编码 。 例 如 对 RGB 的 8:8:8 彩 
色 图 像 (RGB 分 量 都 用 8b 表示 ) ,640X 480 像素 大 小 需要 921 600B, 而 用 YUV 表示 ,Y 分 
量 为 8b ,而 对 2X2 的 4 个 相 邻 像素 的 U、V 值 用 一 个 值 表 示 ,可 将 数据 量 减 少 到 460 800B， 
不 失 为 一 种 有 效 的 图 像 压 缩 技术 。 

与 YUV 类 似 的 还 有 YIQ 和 YCrCb, 分 别 在 PAL、SECAM、NTSC 制式 的 彩色 电视 机 
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和 计算 机 显示 器 中 采用 。 
RGB 与 YUV、YCrCb 色彩 空间 的 变换 关系 如 下 : 


下 0. 299 0. 587 0. 114 R 
中 - 一 0.147 一 0.289 0.436 | 四 
V. 0.615 一 0.515 一 0.100 B 
Y 0.299 0.587 0.114 R 0 
Cr|= 0.500 一 0.4187 一 0. oj G|+ |128 
Cb 一 0.1687 一 0.3313 0. 500 B 128 


静态 图 像 的 压缩 标准 很 多 , 如 BMP (Bit-Map Picture, 位 图 图 片 )、GIF (Graphics 
Interchange Format, 图 形 交 换 格 式 )、PNG(Portable Network Graphics, 可 移植 性 网 络 图 
像 )、TIFF(Tag Image File Format, 标 签 图 像 文件 格式 ) ,而 最 为 成 功 、 应 用 最 广 的 是 JPEG 
(Joint Photogragh-coding Experts Group ,联合 图 像 编码 专家 组 ) 标 准 。 

JPEG 有 无 损 压 缩 和 有 损 压缩 两 种 方式 ,无 损 方式 压缩 比较 低 , 有 损 方式 可 提供 不 同 压 
缩 比 的 选择 ,压缩 比 越 高 ,失真 度 越 大 。JPEG 具有 适中 的 计算 复杂 性 ,有 利于 软件 和 硬件 
实现 。JPEG 标准 规定 了 三 种 编码 系统 : 

(1) 基于 DCT 的 有 损 编码 基本 系统 ,适用 于 大 多 数 场 合 ; 

(2) 用 于 高 压缩 比 、 高 精度 或 渐进 重建 应 用 的 扩展 编码 系统 ; 

(3) 用 于 无 失真 应 用 场合 的 无 损 系统 。 

JPEG 能 够 处 理 4b/pixel 到 16b/pixel 的 图 像 。JPEG 编码 过 程 包括 以 下 主要 步骤 。 

(1) 色彩 空间 转换 。 从 RGB 转换 为 YCrCb。 

(2) 零 偏 置 转换 。 对 于 灰 度 级 是 2" 的 像素 ,像素 值 减 去 2” ,使 值 域 转换 为 一 2 一 
2 一 1, 使 绝对 值 变 小 ,减少 位 数 , 有 利于 境 编码 。 

(3) 把 图 像 分 割 成 互 不 重 和 至 的 8X8 子 图 。 

(4) 对 每 个 子 图 进行 DCT 变换 。 

(5) 对 变换 系数 进行 量化 。 

(6) 对 量化 系数 进行 炉 编码 得 到 压缩 码 流 。 

JPEG 的 解码 是 该 过 程 的 逆 过 程 。 

JPEG2000 标准 是 对 JPEG 的 发 展 , 但 改 用 离散 小 波 变换 (Discrete Wavelet 
Transform, DWT) 为 主 的 多 解析 编码 方式 。 


8.3.3 音频 编码 


ITU-T 制定 的 G 系列 标准 ,如 G.711、G.721、G.722、G.728、G.729, 是 PSTN/ISDN 
中 采用 的 音频 编码 标准 , 码 率 在 8 一 64Kb/s 之 间 。 

ISO 与 ITU-T 联合 制定 的 MPEG(Moving Pictures Experts Group ,动态 图 像 专家 组 ) 
标准 在 计算 机 网 络 领域 得 到 广泛 应 用 。 

MPEG-1 的 音频 编码 提供 3 个 独立 层次 : MP1、MP2 和 MP3。MP1 编码 器 最 简单 , 输 
出 码 率 为 384Kb/s, 用 于 小 型 数字 盒 式 磁 带 : MP2 的 编码 器 复杂 度 中 等 ,输出 码 率 为 
192~~256Kb/s, 应 用 包括 数字 广播 音频 数字 音乐 .CD-I 和 VCD; MP3 编码 器 最 复杂 ,输出 
码 率 为 8 一 128Kb/s, 主 要 用 于 音乐 文件 存储 和 网 络 声音 传输 ,在 Internet 上 得 到 普遍 应 用 。 
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MPEG-2 音频 编码 提高 了 低 采 样 率 下 的 声音 质量 ,支持 多 通道 环绕 立体 声 和 多 语言 技 
术 , 包 括 BC 和 AAC(Advanced Audio Coding) 两 种 算法 ,后 者 支持 1 一 48 个 通道 ,每 通道 可 
获得 8 一 160Kbys 高 质量 声音 。MPEG-2 可 提供 较 大 的 可 变 压 缩 比 , 以 适应 不 同 声音 质量 、 
存储 容量 和 传输 带宽 的 要 求 ,适用 于 数字 音频 广播 .DVD、 多 声 道 数字 电视 声音 和 多 媒体 网 
络 传输 。 

MPEG-4 音频 标准 可 集成 从 话音 到 高 质量 的 多 通道 声音 ,不 仅 支 持 自然 声音 ,还 支持 
合成 声音 (如 文本 -语音 转换 TTS) 。MPEG-4 采用 可 变速 率 编码 器 ,输出 速率 200 一 64Kb/s， 
有 较 强 的 应 用 灵活 性 。 


8.3.4 视频 编码 


数字 视频 的 数据 量 非 常 庞大 。 标 准 清晰 度 的 NTSC 视频 为 30fps、4 : 2 : 2YCrCb、 
720X480 ,要 求 超过 165Mb/s 的 传输 速率 ,如 果 不 进行 有 效 的 压缩 ,几乎 没有 应 用 价值 。 

视频 编码 除了 需要 满足 压缩 数据 量 的 需要 ,还 需要 同时 考虑 声音 (如 伴音 ) 的 编码 ,并 在 
播放 时 保持 视频 和 音频 的 同步 。 主 流 的 视频 编码 标准 有 : 

(1) 基于 块 的 混合 视频 编码 方案 ,有 H. 261、H. 263、H. 264、MPEG -1 .MPEG -2、 
MPEG-4、AVS 等 标准 ,采用 预测 编码 .变换 编码 .量化 编码 和 焙 编 码 技术 ; 

(2) 基于 小 波 变换 的 视频 编码 方案 ,实现 可 伸缩 的 视频 编码 ; 

(3) 基于 内 容 和 对 象 的 视频 编码 方案 。 

基于 块 的 视频 编码 是 最 成 熟 、 实 用 性 最 强 、 使 用 最 广泛 的 技术 。 其 基本 技术 思想 有 两 
点 : 在 空间 方向 上 ,采用 类 似 于 JPEG 的 压缩 算法 去 除 空 间 宛 余 信 息 ; 在 时 间 方 向 上 ,采用 
预测 编码 去 除 时 间 宛 余 信 息 。 

视频 压缩 将 帧 分 为 三 种 类 型 : 工 帧 (Intra Frame) 、P 帧 (Predicted Frame) 和 B 帧 (Bi- 
directional Frame)。 如 图 8. 10 所 示 ,I 帧 不 依赖 于 其 他 帧 ,而 是 靠 尽 可 能 去 除 帧 内 空间 宛 
余 来 实现 数据 压缩 的 编码 帧 ,因此 称 为 帧 内 编码 帧 ; P 帧 是 通过 重复 利用 视频 序列 中 之 前 
已 经 完成 的 编码 帧 的 时 间 相 关 性 来 消除 时 间 宛 余 信 息 , 称 为 预测 帧 ; B 帧 既 利 用 视频 序列 
前 面 已 编码 的 帧 ,又 利用 视频 序列 后 面 已 编码 帧 的 相关 性 ,以 消除 时 间 宛 余 信 息 , 所 以 称 为 
双向 预测 帧 。 一 般 工 帧 压缩 率 最 低 ,P 帧 其 次 ,B 帧 最 高 。P 帧 通常 使 用 前 面 最 近 的 工 帧 或 
P 帧 作为 参考 图 像 ,B 帧 使 用 前 后 两 帧 I 帧 或 P 帧 作为 预测 参考 ,其 中 一 个 参考 帧 在 显示 顺 
序 上 先 于 编码 帧 ,是 前 向 预测 , 另 一 参考 帧 属于 后 向 预测 。 


图 8.10 视频 编码 的 基本 帧 类 型 


通常 把 连续 的 帧 分 为 图 像 组 (Group Of Pictures,GOP) ,GOP 的 第 一 帧 为 1 帧 ,其 余 为 
P 帧 和 B 帧 。 

预测 编码 是 一 种 基于 运动 补偿 (motion compensation) 方 法 的 技术 。 首 先 应 进行 运动 
估计 (motion estimation), 以 块 匹 配 算法 (Block-Match Algorithm, BMA) 为 例 , 如 图 8. 11 
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所 示 ,将 图 像 分 成 NXN 的 宏 块 (macro block) ,用 当前 图 像 的 每 一 个 宏 块 在 上 一 帧 的 一 定 
范围 (匹配 窗 ) 内 搜索 与 之 最 接近 的 预测 块 ,得 到 预测 块 到 当前 块 的 位 移 ,就 是 运动 矢量 
(motion vector) 。 将 前 一 帧 相应 的 运动 部 分 信息 根据 运动 矢量 补偿 过 来 的 过 程 就 是 运动 补 
偿 。 而 预测 块 与 当前 块 之 间 的 差 值 称 为 残 差 图 像 ,因此 ,每 个 当前 图 像 宏 块 都 可 以 用 残 差 图 
像 和 一 个 运动 矢量 来 表示 。 预 测 越 准 , 残 差 中 的 数值 越 小 ,编码 后 占用 的 比特 数 就 越 少 。 

上 一 帧 大 1 
匹配 窗 


e| | | | 


图 8.11 预测 编码 宏 块 匹配 


当前 帧 上 


宏 块 的 大 小 应 是 一 个 折 中 的 选择 : 若 太 小 ,可 能 匹配 到 错误 的 块 , 且 增加 运算 量 , 同 时 
增加 所 需 传 输 的 运动 矢量 信息 ; 若 太 大 ,可 能 块 中 存在 不 同 的 运动 矢量 ,就 难以 提供 准确 、 
有 效 的 估计 。 

主要 的 视频 编码 标准 技术 指标 对 比如 表 8. 6 所 示 。 

表 8.6 主要 的 视频 编码 标准 技术 指标 对 比 


视频 编码 标准 像素 fps b/s 质量 应 用 
MPEG-1 352X288 | 25/30 1M~1.5M | CIF VCD 视频 点 播 
MPEG-2/H. 262 720X486 | 30 3M~10M | PAL/NTSC DVD、 视 频 广播 /点 播 
H. 261 352X288 30 64K~2M | QCIF 视频 会 议 .可 视 电 话 
H. 263 可 变 30 64K QCIF/CIF 视频 会 议 、 可 视 电 话 
MPEG-4/H. 264 质量 高 . 码 率 低 、 可 调 性 好 、 适 应 性 强 网 络 视频 视频 广播 


8.3.5 数字 水 印 


Internet 的 繁荣 对 知识 产权 而 言 似乎 是 一 场 愈 演 愈 烈 的 灾难 ,因为 便捷 的 访问 、 轻 松 的 
共享 ,快速 的 交互 加 上 缺 位 的 监管 ,使 侵犯 版 权 ` 著 作 权 的 事件 层出不穷 ,所 以 ,面向 数字 化 
产品 的 数字 版 权 保护 (Digital Right Protection, DRP) 显 得 十 分 迫切 。 但 在 虚拟 世界 中 ,这 
无 疑 是 一 项 艰巨 的 任务 。 

数字 水 印 (Digital Watermark) 是 一 种 对 图 像 、 视 频 、 音 频 等 数字 作品 提供 版 权 认 证 的 技 
术 。 数 字 水 印 的 基本 原理 是 : 将 代表 数字 媒体 著作 权 人 身份 的 特定 信息 、 标 志 或 序列 码 等 
信息 ,按照 某 种 方式 嵌入 被 保护 的 信息 中 ,在 需要 时 可 通过 相应 的 算法 提取 该 水 印 , 用 以 验 
证 版 权 的 归属 。 当 然 ,数字 水 印 的 加 入 必须 以 不 破坏 被 保护 对 象 的 使 用 价值 .欣赏 价值 为 
前 提 。 

数字 水 印 通 常 为 不 可 感知 型 的 , 除 此 之 外 ,还 具备 如 下 特点 。 
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(1) 嵌入 有 效 性 。 应 保证 嵌入 的 水 印 能 够 被 成 功 检 测 到 。 

(2) 抵抗 破坏 的 鲁 棒 性 。 当 图 像 进行 裁剪 .扭曲 有 损 压 缩 , 甚 至 打印 和 扫描 后 , 仍 能 够 
检测 或 部 分 检测 到 水 印 的 存在 。 但 有 些 用 于 认证 的 水 印 故意 设计 为 脆弱 的 。 

(3) 避免 虚 检 水 印 。 水 印 检测 算法 不 能 够 在 不 含水 印 的 对 象 中 提取 到 虚假 的 水 印 。 

(4) 水 印 安全 性 。 防 范 攻 击 者 破译 水 印 算法 并 算 改 水 印信 息 。 

空域 数字 水 印 算法 是 最 早出 现 也 是 比较 简单 的 方法 ,其 工作 原理 是 在 空间 域 中 按 某 种 
规则 直接 修改 原始 载体 数据 ,加 载 水 印信 息 。 信 息 将 被 嵌入 到 随机 选择 的 最 不 重要 像素 位 
(Least Significant Bit,LSB) 上 ,使 水 印 不 可 见 。 但 正 是 由 于 位 于 LSB 上 ,水 印信 息 很 容易 
被 滤波 .量化 ,变形 等 操作 破坏 。 

另 一 种 Patchwork 算法 是 随机 选择 N 对 像素 点 (a;,b;) ,将 每 个 a; 点 的 亮度 值 加 1 ,每 
个 6 点 的 亮度 值 减 1, 保持 整个 图 像 的 平均 亮度 不 变 。 提 取 时 ,同样 选择 这 N 对 像素 点 
{ of 六 计算 S= > (ao 一 多) , 若 S 接近 2N, 说 明 含 有 水 印 , 如 果 趋 近 于 0, 说 明 不 含水 
印 。Patchwork 算法 对 JPEG 压缩 FIR 滤波 及 图 像 裁 前 有 一 定 的 抵抗 力 , 但 蔡 入 的 信息 量 
比较 有 限 。 

其 他 数字 水 印 技术 有 DCT 域 数 字 水 印 .DFT 域 数字 水 印 .小 波 域 数字 水 印 等 。 另 外 还 
有 专门 面向 视频 、 音 频 的 数字 水 印 生成 和 检测 技术 。 

数字 水 印 本 身 的 安全 性 也 面临 着 诸多 挑战 。 有 一 种 称 为 马赛 克 的 扰乱 攻击 ,将 图 像 分 
为 许多 特别 小 的 图 像 , 以 至 于 每 个 都 无 法 进行 可 靠 的 水 印 检测 ,而 拼接 后 的 显示 不 受 任何 影 
响 ; 通过 一 个 信号 扰乱 器 可 扰乱 录像 机 的 输入 ,使 录像 机 检测 不 到 水 印 而 准许 录像 ,播放 时 
用 相应 的 解 扰 器 恢复 信号 ,巧妙 绕 过 了 防 复制 机 制 ; 利用 水 印 实现 技术 对 同步 非常 敏感 的 
特点 ,通过 干扰 同步 来 掩蔽 水 印信 号 ; 采用 线性 低 通 滤波 器 ,削弱 高 频 部 分 具有 高 能 量 的 水 
印 , 使 水 印 无 法 检测 ; 复制 攻击 则 将 水 印 从 一 个 载体 复制 到 另 一 载体 ,可 用 以 伪造 名 家 作品 
的 履 品 ,达到 以 假 乱 真 、 鱼 目 混 珠 的 目的 。 
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9.1 信息 加 密 原 理 


信息 加 密 (Information Encryption ) 作为 保障 数据 (消息 ) 安 全 的 一 种 方 
式 ,其 历史 相当 久远 ,可 能 要 追溯 到 公元 前 2000 年 。 虽 然 那个 时 代 的 密码 与 
现代 加 密 技术 不 可 同日 而 语 ,但 已 具备 加 密 的 概念 和 和 锥 形 , 也 说 明了 信息 加 
密 的 重要 性 。 

如 图 9. 1 所 示 , 信 息 加 密 的 基本 原理 是 : 把 明文 (plaintext) 用 加 密 
(encryption) 方 法 和 密 钥 (key) 生 成 保密 的 密 文 (cryptograph 或 ciphertext ) ， 
只 有 使 用 正确 的 解密 (decryption) 方 法 和 密 钥 后 才能 还 原 出 明文 。 

加 密 方法 


明文 
解密 方法 


图 9.1 加 密 和 解密 基本 原理 


设 明文 空间 为 工 , 密 钥 空 间 为 K, 密 文 空间 为 C,E 为 加 密 方法 ,D 为 解密 
方法 。 若 有 明文 + ET, 加 密 密 钥 为 k.EK ,解密 密 钥 为 ksEK, 密 文 c<EC, 则 
加 密 和 解密 过 程 可 分 别 表示 为 

c= E(k., 1) 
t= D(kas ，c) 

一 个 完善 的 密码 体制 至 少 应 满足 两 个 条 件 : 

(1) 已 知 明文 + 和 加 密 密 钥 k。 时 ,容易 计算 c 一 E(k. 和 t==D(kav,c); 

(2) 在 不 知道 解密 密 钥 & 时 ,难以 由 密 文 c 推 知 明文 +。 
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信息 加 密 可 以 实现 信息 保密 性 (防止 用 户 的 标识 或 数据 被 非法 窃取 )、 数 据 完整 性 (防止 
数据 被 非法 算 改 和 伪造 )\ 不 可 否认 性 (确定 数据 来 源 的 可 靠 性 ,并 防止 抵赖 ) 。 

然而 ,没有 绝对 不 可 破译 的 加 密 方法 。 例 如 可 以 采用 穷 举 法 尝试 所 有 的 可 能 性 。 保 密 
的 相对 性 主要 是 指 计算 上 的 ,就 是 利用 现 有 最 高 性 能 的 计算 机 是 否 能 在 信息 失效 前 实现 破 
解 。 而 且 , 加 密 是 一 把 双 刃 剑 , 复 杂 的 加 密 、 解 密 算 法 将 消耗 大 量 的 系统 资源 .增加 系统 负 
荷 , 反 过 来 会 影响 信息 系统 正常 运行 的 效率 。 所 以 ,设计 和 应 用 加 密 方法 应 讲究 策略 ,选择 
适合 需求 的 方案 ,使 破译 的 成 本 超过 被 加 密 信息 的 价值 ,或 使 破译 的 时 间 超 过 被 保护 信息 的 
有 效 期 。 

加 密 技 术 可 分 为 传统 加 密 技术 (古典 密码 ) 和 现代 加 密 技 术 。 

传统 加 密 技术 主要 采用 置换 方法 ,例如 改变 字母 的 映射 关系 .对 字母 进行 编码 或 替换 
等 。 因 为 置换 方法 不 改变 字母 出 现 的 频率 ,所 以 运用 统计 学 上 的 频率 分 析 方法 就 能 破译 密 
文 (如 图 9.2 所 示 ) 。 


14.0% 
12.0% 
10.0% 
8.0% 

xx 
4.0% 


2.0% 
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ABCDEFGHI JKLMNOPQRSTUVWXYZ 


图 9.2 英文 字母 频率 统计 


现代 加 密 技术 包括 对 称 密 钥 加 密 、 非 对 称 密 钥 加 密 、 单 向 函数 加 密 三 种 类 型 ,以 数学 方 
法 为 基础 ,保密 强度 较 高 ,并 体现 出 如 下 特征 。 

(1) 以 加 密 ( 解 密 ) 算 法 为 核心 。 算 法 的 研制 是 最 重要 、 最 根本 的 技术 ,同时 也 是 十 分 困 
难 的 .富有 挑战 性 的 工作 。 加 密 和 解密 算法 可 以 公开 ,事实 上 ,通常 成 为 国际 (国家 ) 标 准 。 

(2) 加 密 强度 主要 依赖 于 密 钥 , 具 体 地 ,依赖 于 密 钥 的 长 度 , 所 以 应 用 中 非常 强调 密 钥 
的 管理 。 

(3) 加 密 算 法 便于 计算 机 实现 (甚至 采用 IC 芯片 实现 ) 和 网 络 应 用 。 


9.2 古典 密码 


9.2.1 Greece 密码 


希腊 (Greece) 密 码 出 现 于 公元 前 2 世纪 ,是 一 种 二 维 | 于 六 第 机 局 
字母 表 编 码 方法 。 如 图 9. 3 所 示 ,将 26 个 字母 分 为 5X5 1|A BC DE 
的 矩阵 ,用 行列 号 作为 对 应 字母 的 编码 。 本 

例如 ,明文 FUDAN 可 编码 加 密 为 2 45 141133。 设 4 laQ R s To 
想 一 位 古代 将 军 , 拿 到 截获 的 敌 方 机 密 文件 ,看 到 的 却 是 一 5 lvwx Y Zz 


连 串 数字 ,一 定 会 一 头 雾 水 非常 烦恼 。 而 拥有 同一 张 ( 同 图 9.3 Greece 密码 编码 表 
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一 规则 ) 编 码 表 的 人 却 很 容易 就 能 解密 得 到 明文 。 
字母 表 还 可 以 变化 为 4X7 或 3X8( 再 合并 U 和 V)。 


9.2.2 ” Caesar 密码 


凯撒 (Caesar) 密 码 是 一 种 古老 的 单 表 置换 密码 。 方 法 是 把 字母 表 中 的 每 个 字母 用 该 字 
母后 面 第 ， 个 字母 进行 替换 。 如 果 "一 3, 则 变换 表 如 下 。 

字母 表 ;: a bc defghijklmnopqrstuvwxyz 

变换 表 : de f ghijklmnopqrstuvwxyzabec 

例如 ,明文 为 meet me after the party, 密 文 为 phhwphdiwhuwkhsduwb 。 

如 果 对 26 个 英文 字母 依次 进行 赋值 1,2,… ,26, 设 1 为 明文 字母 ,c 为 密 文字 母 ,& 一 1， 
2,… ,25 为 步 长 ( 即 密 钥 ), 则 Caesar 密码 用 数学 算式 表达 为 

加 密 算 法 : c 王 E(i) 一 (: 十 &)mod 26 

解密 算法 : 上 王 D(Cc) 一 (c 一 A)mod 26 

显然 ,假如 已 知 加 密 用 的 是 凯撒 密码 , 则 使 用 暴力 攻击 ( 穷 举 法 ) 密 码 分 析 最 多 只 需 25 
次 尝试 。 
9.2.3 Prefix 密码 


标准 字 头 (Prefix) 密 码 又 称 为 密 钥 短语 密码 ,属于 单 表 置换 密码 ,与 凯撒 密码 类 似 , 但 
利用 一 个 密 钥 字 来 做 表 头 ,构造 变换 表 。 密 钥 字 通常 是 单词 或 词组 ,便于 记忆 (例如 可 以 把 
密 钥 字 刊 登 在 报纸 的 约定 位 置 上 )。 

设 密 钥 字 KK 三 cat, 获 得 变换 表 如 下 。 

字母 表 : a bcdefghijklmnopqrstuvwxyz 

变换 表 : cat bdef ghij kl mnopqrsuvwxyz 

思考 : 为 什么 不 要 选用 cab 作为 密 钥 字 ? 如 何 选取 密 钥 字 可 使 发 生变 化 的 字母 最 多 ? 

该 方法 还 可 以 做 一 种 变形 : 选取 一 个 字母 ,然后 从 该 字母 位 置 开始 配置 变化 表 。 例 如 
选取 e, 则 变换 表 中 < 应 该 从 字母 表 的 e 位 置 开 始 ,再 依次 往 后 。 

再 例如 密 钥 字 为 HAPPY NEW YEAR, 可 先 去 掉 其 中 重复 的 字母 得 到 一 个 无 重复 字 
母 的 字母 串 , 即 HAPYNEWR ,而 后 依法 生成 变换 表 。 

9.2.4 Playfair 密码 

公平 竞赛 (Playfair) 密码 属于 多 表 加 密 体 制 , 将 明文 中 的 双 字 母 组 合作 为 一 个 单元 对 
待 , 并 将 这 些 单元 转换 为 密 文 双 字 母 组 合 。 

Playfair 算法 使 用 一 个 5X5 字母 矩阵 ,该 矩阵 使 用 一 个 关键 词 构造 。 

例如 ,关键 词 是 monarchy, 从 左 至 右 、 从 上 至 下 填 入 该 关键 词 的 字母 (去 除 重复 字母 )， 
然后 再 按 字母 表 顺 序 将 余下 的 字母 填 入 矩阵 剩余 空间 ,字母 1 和 J 被 算 作 一 个 字母 ,由 此 得 
到 Playfair 字母 矩阵 为 


MON A R 
C HY B D 
E 人 Wj 区 
L PP QS TT 
UY WX 也 
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Playfair 根据 下 列 规则 依次 对 明文 的 两 个 字母 加 密 。 

(1) 属于 相同 对 中 的 重复 的 明文 字母 将 用 一 个 填充 字母 (例如 x) 进行 分 隔 。 例 如 ， 
balloon 会 出 现 11, 则 将 被 改 为 ba lx lo on。 

(2) 属于 矩阵 相同 行 的 明文 字母 将 由 其 右边 的 字母 代替 ,而 行 的 最 后 一 个 字母 由 行 的 
第 一 个 字母 代替 。 例 如 ,ar 被 加 密 为 RM 。 

(3) 属于 矩阵 相同 列 的 明文 字母 将 由 它 下 面 的 字母 代替 ,而 列 的 最 后 一 个 字母 由 列 的 
第 一 个 字母 代替 。 例 如 ,mnu 被 加 密 为 CM。 

(4) 明文 的 其 他 字母 将 由 与 其 同行 , 且 与 下 一 个 字母 同 列 的 字母 代替 。 例 如 ,hs 成 为 
BP,ea 成 为 IM( 或 JM, 可 根据 加 密 者 的 意愿 而 定 ) 。 

规则 (4) 等 价 于 在 字母 矩阵 中 以 两 个 明文 字母 为 顶 角 画 矩 形 ,矩形 的 另 一 对 顶 角 即 为 密 
文字 母 对 。 规 则 (2) 和 (3) 只 是 处 理 明 文字 母 对 在 同行 和 同 列 时 的 特殊 情况 。 

Playfair 密码 与 简单 的 单一 字母 替代 法 密码 相 比 有 了 很 大 的 进步 。 第 一 ,虽然 仅 有 26 
个 字母 ,但 有 26X26 二 676 种 双 字 母 组 合 , 因 此 ,识别 各 种 组 合 要 困难 得 多 。 第 二 ,频率 分 布 
不 规则 ,使 得 频率 分 析 困 难得 多 。 由 于 这 些 原因 ,Playfair 密码 过 去 长 期 被 认为 是 不 可 破 
的 , 曾 被 英国 陆军 在 第 一 次 世界 大 战 中 作为 项 级 加 密 系 统 使 用 ,在 第 二 次 世界 大 战 中 仍 被 美 
国 陆军 和 其 他 同盟 国 大 量 使 用 。 


9.2.5 Vigenere 密码 


维 吉 尼 亚 (Vigenere) 密码 最 早 记录 在 吉 奥 万 . 巴 蒂 斯 塔 。 贝 拉 索 (Giovan Battista 
Bellaso)1553 年 的 密码 技术 著作 中 ,19 世纪 时 被 误 传 为 法 国外 交 官 布 莱 斯 。 德 ， 维 吉 尼 亚 
(Blaise De Vigenere) 所 发 明 , 因 此 现在 被 称 为 Vigenere 密码 。 

Vigenere 密码 是 一 种 非常 简单 ,也 非常 著名 ,非常 有 效 的 单字 符 多 表 替 换 密码 。 其 加 
密 方法 是 : 

为 了 加 密 一 个 消息 ,需要 一 个 与 该 消息 一 样 长 的 密 钥 。 通 常 该 密 钥 为 一 重复 的 关键 词 
( 密 钥 字 ) 。 设 26 个 字母 依次 赋值 为 0,… ,25。 

设 密 钥 三 处 如 … 忆 ,明文 M 二 mma; 则 EECMD 二 aco…*6, 其 中 ci 二 Gm 十 ki) 
mod 26 。 

另 一 种 加 密 方法 为 事先 构造 一 个 Vigenere 矩阵 ,通过 查 表 来 加 密 信息 。Vigenere 和 矩阵 
由 步 长 为 0 一 25 的 26 行 凯 撒 密 码 序列 构成 。 若 给 定 一 个 密 钥 字 母 d 和 一 个 明文 字母 w, 密 
文字 母 就 位 于 (d，w) 上 , 即 密 文 为 字母 z。 


abcdefghijklmnopgqrstuvwxyz 
bcdefghijklmnopqrstuvwxyza 
cdefghijklmnopqrstuvwxyzab 
defghijklmnopqrstuvwxy 了 bc 
efghijklmnopqrstuvwxyzabcd 


zabcdefghijklmnopqrstuvwxy 


例如 , 设 关键 词 是 deceptive, 明 文 消息 为 "we are discovered save yourself”, 查 表 加 密 结 
果 如 下 。 
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密 钥 : deceptivedeceptivedeceptive 

明文 .wearediscoveredsaveyourself 

密 文 :zi cvt wqngrzgvt wavzhcqyglmgj 

解密 方法 同样 简单 : 由 密 钥 字母 标识 行 , 该 行 中 密 文字 母 所 在 位 置 决定 列 , 明 文字 母 位 
于 该 列 的 顶部 。 

Vigenere 密码 的 强度 在 于 每 个 明文 字母 由 多 个 密 文 字母 对 应 ,每 个 明文 字母 可 以 对 应 
于 该 关键 词 的 各 个 独特 的 字母 ,因此 ,该 字母 的 频率 信息 变 得 模糊 了 。 然 而 ,并 非 所 有 明文 
结构 的 所 有 知识 都 丢失 了 。 对 于 具有 长 度 为 9 的 关键 词 的 Vigenere 密码 的 频率 分 布 , 虽 然 
取得 了 优 于 Playfair 密码 的 改进 ,但 仍然 保留 了 可 观 的 频率 信息 。 

与 Vigenere 密码 相似 的 有 Beaufort 密码 。 


9.2.6 Vernam 密码 


弗 纳 姆 (Vernam) 密 码 是 1918 年 AT&T 工程 师 Gilbert Verna 设计 的 ,创新 性 地 用 二 
进 制 数据 而 不 是 用 字母 工作 。 
Vernam 加 密 体制 可 简单 地 表示 为 
= 
式 中 : p; 为 明文 的 第 i 个 二 进 制 数字 ; &; 为 密 钥 的 第 i 个 二 进 制 数字 ; ci 为 密 文 的 第 i 个 二 
进 制 数字 ; 四 为 异 或 操作 。 
通过 执行 明文 和 密 钥 的 逐 位 异 或 操作 ,产生 密 文 。 因 异 或 的 性 质 ,解密 仅 需 执行 相同 的 
逐 位 异 或 操作 ， 
pi:=c@Ek 
Vernam 密码 技术 的 核心 是 密 钥 构 造 的 方法 。Vernam 提议 使 用 循环 的 带子 ,允许 使 用 
很 长 的 密 钥 。 尽 管 长 密 钥 使 得 密 钥 分 析 极 为 困难 ,然而 ,只 需 找 到 充足 的 密 文 , 使 用 已 知 的 
或 可 能 的 明文 序列 ,通过 两 者 的 结合 、 比 对 就 能 够 帮助 破译 。 
Joseph Mauborgne 提出 了 对 Vernam 密码 的 改进 方案 ,使 用 一 种 恰好 与 消息 一 样 长 度 
的 随机 序列 密 钥 ,该 密 钥 没有 重复 。 这 种 方案 被 称 为 “一 次 一 密 ”, 号 称 永远 不 可 破译 ,因为 
其 输出 的 密 文 与 明文 没有 任何 统计 关系 ,还 因为 当 使 用 暴力 法 破译 时 ,可 以 找到 大 量 可 能 的 
候选 “明文 ”, 产 生 多 对 一 的 关系 ,使 穷 举 式 破 译 过 程 无 法 停止 (如 图 9.4 所 示 )。 然 而 ,这 
种 方法 带 来 男 一 方面 的 困扰 ,发 送 者 和 合法 接收 者 必须 传递 ,保存 并 保护 该 随机 密 钥 , 这 
个 过 程 往往 会 产生 很 大 的 问题 。 因 此 ,虽然 这 一 改进 在 加 密 技 术 中 性 能 卓越 ,但 很 少 被 
使 用 。 


第 一- 
猜测 密 钥 5 | ! 
猜测 密 角 ”=H 候 远 破译 明文 |! 
日 1 Fi 1 

- 


猜测 密 钥 心 


图 9.4 一 次 一 密 法 加 密 和 解密 分 析 


161 
第 9 章 密码 学 基 


9.2.7 Hill 密码 


希 尔 (Hill) 密 码 是 一 种 有 趣 的 多 字母 密码 加 密 方法 ,由 数学 家 Lester S，Hill 于 1929 
年 研制 ,其 原理 是 矩阵 的 线性 变换 。 

Hill 密码 算法 取 疡 个 连续 的 明文 字母 ,并 用 闷 个 密 文字 母 代替 。 这 种 替代 由 wm 个 线 
性 方程 决定 ,其 中 每 个 字符 被 分 配 一 个 数值 (a 二 0,6 二 1,…,z 二 25)。 若 m= 二 3, 该 系统 可 以 
用 方程 组 描述 如 下 : 


Cs (kaipi 十 kz ps 十 kzs ps)mod 26 


| = (kupi kp + ksps)mod 26 
Cs = (ksipi + ksz pz + kss ps)mod 26 


用 向 量 和 矩阵 乘法 表示 为 
CO ku ki2 ki 
Cz Ra kz2 kzs 
Cs ks ks kss) lp 
即 C=K。，P。 其 中 : C 和 PP 是 长 度 为 3 的 列 向 量 , 分 别 表示 明文 和 密 文 ; K 是 一 个 3X3 矩 
阵 , 表 示 加 密 密 钥 。 操 作 要 执行 模 26 运算 。 

例如 ,明文 为 “pay more money”, 设 加 密 密 钥 为 


7 
K= |21 18 21 
2 2 19 
明文 的 前 三 个 字母 被 表示 为 向 量 形 式 , 则 有 
p 15 375 ll 下 
4aj| 一 下 X |0 | 一 1819|mod 26 一 |13| 一 | 和 N 
y 24 486 18 沪 


同 理 , 以 三 个 字母 一 组 的 方式 继续 计算 下 去 (忽略 空格 ) ,遍历 所 有 的 明文 字母 ,最 后 得 
到 密 文 为 LNS HDL EWM TRW。 

解密 过 程 则 使 用 矩阵 天 的 逆 和 矩阵 K ' ,有 P= 二 K“'，，C。 其 中 求 逆 矩 阵 K ' 可 利用 和 矩阵 
K 的 伴随 和 矩阵 K * 和 矩阵 的 行列 式 | 开 | ,关系 式 如 下 : 

K: 

IK| 

与 Playfair 算法 相 比 , Hill 密码 的 保密 强度 在 于 其 可 以 完全 隐藏 单字 母 的 统计 频率 。 
一 个 3X3 的 Hill 密码 不 仅 隐藏 了 单个 字母 ,而 且 也 隐藏 了 两 个 字母 的 频率 信息 。 如 果 使 
用 较 大 的 矩阵 就 可 以 隐藏 更 多 的 频率 信息 。 

尽管 Hill 密码 对 抗 “ 仅 有 密 文 攻击 ”的 强度 较 高 ,但 也 比较 容易 被 “已 知 明文 攻击 ”所 
攻破 。 


9.2.8 ” Enigma 密码 


Enigma 密码 又 称 转子 机 密码 ,是 二 次 大 战 中 使 用 的 最 著名 的 加 密 技 术 之 一 。Enigma 
的 字面 意思 就 是 “ 谜 ”, 该 密码 由 德军 使 用 ,后 被 盟 军 破译 ,成 为 加 速 战争 结束 的 重要 因素 ,由 


K'= mod 26 


162 
2 版 ) 


此 被 载 人 史册 。 
Enigma 加 密 和 解密 需要 一 台 类 似 打 字 机 的 设备 , 设 定 初始 位 置 后 , 即 可 通过 


fF 打 键盘 


输入 明文 ,设备 经 过 加 密 运作 ,输出 (打印 ) 为 密 文 。 解 密 也 需要 这 一 设备 ,通过 巧妙 的 机 械 


装置 的 切换 ,实现 逆转 (解密 ) 操 作 , 输 入 密 文 , 输 出 即 为 明文 。 


如 图 9. 5 所 示 ,Enigma 密码 加 密 系统 由 一 系列 独立 转动 的 圆柱 体 组 成 。 电 脉冲 能 够 流 
经 圆柱 体 , 每 个 圆柱 体 有 26 个 输入 引 脚 与 26 个 输出 引 脚 ,其 内 部 连 线 将 每 个 输入 引 脚 连接 


到 一 个 相应 的 输出 引 脚 。 


下 | 站 要 每 处 理 一 个 明文 字母 ,快速 转子 旋转 一 格 ; 
| 2 快速 转子 每 中 速 转子 旋转 一 格 ; 
一 2 2 市 中 速 转子 每 旋 ,人 慢 速 转子 旋转 一 格 。 
和 到 
pe 2 2 
下 人 F Pad 
i EA 输出 
. A q| |H al |G p 密 文 字母 芝 m| |H al IG p 
1 lB wz dv 广 工 -一 一 A qllz dl i 
1 IC el ll gl |Q B wl|l|l gl |Q y 
上 D ?| jl IE r 到 e| |L 1| IE r 
1 |E t| IF 1 1 Ww D T| IF 1| | Ww 
| F y| |A ll le | an E | A | 区 二 把 
1 |G ul Ww el IN b F y|Iw elIN bb 
1 IH i |P t| IF 慢 速 转子 G ul |P t| IF c 
1 I ofl lB ul IH z 旋转 一 格 后 H i| IB ul IH z 
1 p| |D oflL 1 E> 1 ojlID ollL 1 
i 发 al |E z| IM j J p| |E z| IM j 
输入 1 | sj cjA | g Ka ela 
明文 字母 IM dillG bllc|l dad 再 输入 LL Slo ‘bllle "a 
N=N-— fl| |U ml |P a 明文 字母 M d| |U m | |P a 
! I0O| gill wlB| a N——=N- fllQ wllB a 
ye h| Ix r ID | e | 生 
0 0 | | Ls Se | ee P | hllIM yllT +t 
1 IR k| IT 各 | 至 u Q pi Ei u 
1 S 中 plils 0 R k| |Y pl 18 oO 
中 z| IN 到 | 区 s 各 1| IN Eo S 
ft I x| IO v| 上 T z| |0 v| |I 并 输出 
| c| IK nl |w h U x| |IK nllw h| 密 文字 母 
1 IW v| |C s| IK k V cl jcC ~s| |K 一 一 k K 
1 | 站 b| IR fl |o 和 W | v||R RQ > 芝 
1 nlv hl |IR  v RR 
|zZ ml |S k| |V n Y n| |S k | 1V n 
ed 
图 9.5 Enigma 加 密 机 原理 
如 果 每 个 输入 引 脚 和 输出 引 脚 与 字母 表 中 的 一 个 字母 关联 起 来 , 则 单个 圆柱 体 定义 了 


一 个 单字 母 蔡 代 。 如 果 操 作 员 按 下 某 个 字母 键 ,一 个 电信 号 被 加 到 第 ;个 圆柱 体 的 第 7 个 


引 脚 ,并 通过 内 部 连接 到 达 第 上 个 输出 引 脚 。 
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对 于 一 个 具有 单 圆柱 体 的 机 器 ,在 每 一 个 输入 键 被 按 下 后 ,该 圆柱 体 旋 转 一 个 位 置 ,由 
此 内 部 连接 被 相应 移 位 ,从 而 定义 了 一 个 不 同 的 单字 母 替 代 密 码 。 在 明文 的 26 个 字母 输入 
之 后 ,圆柱 体 将 回 到 原来 的 位 置 。 这 样 ,我们 得 到 了 周期 为 26 的 多 字母 替代 算法 。 

当然 一 个 单 圆 柱 体 的 系统 是 不 足以 抵御 令 人 生 旦 的 密码 攻击 的 。 那 么 可 以 使 用 多 个 圆 
柱 体 ,如 采用 快速 、 中 速 、 慢 速 三 个 圆柱 体 。 其 中 一 个 圆柱 体 的 输出 引 脚 与 下 一 个 圆柱 体 的 
输入 引 脚 相连 。 快 速 圆柱 体 旋转 一 周 , 中 速 圆 柱 体 旋转 一 个 引 脚 位 置 ; 中 速 圆 柱 体 旋转 一 
周 , 慢 速 圆 柱 体 旋转 一 个 引 脚 位 置 。 则 总 共 可 以 获得 26X26X26==17 576 种 不 同 的 替代 字 
母 可 供 使 用 。 

Enigma 转子 机 密码 是 传统 加 密 技 术 发 展 的 顶峰 。 随 着 计算 机 的 诞生 ,传统 加 密 技 术 逐 
渐 淡 出 人 们 的 视线 ,取而代之 的 是 现代 加 密 技 术 。 但 Enigma 密码 的 特殊 地 位 仍然 不 可 低 
估 ,不仅 在 于 它 具 有 超 强 的 信息 保密 能 力 , 更 在 于 它 指明 了 通 向 目前 应 用 最 为 广泛 的 现代 密 
码 算法 的 技术 途径 。 
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10.1 对 称 密 钥 加 密 原 理 


对 称 密 钥 加 密 (Symmetric Key Cryptography) ,又 称 为 私 钥 加 密 (Private 
Key Cryptography) . 单 钥 加 密 (One-Key Cryptography) , 因 同 一 个 密 钥 既 用 
于 加 密 又 用 于 解密 而 得 名 。 

作为 一 项 重要 的 现代 加 密 技术 ,对 称 密 钥 加 密 是 信息 保密 的 主要 手段 。 
其 特点 是 : 密 钥 ( 私 钥 ) 越 长 则 加 密 强度 越 大 。 对 称 加 密 算法 一 般 具有 很 高 的 
计算 效率 ,可 面向 大 量 数据 ,如 文件 数据库、 流 媒体 等 的 加 密 工作 ,但 密 钥 的 
安全 生成 .安全 分 发 .安全 存储 需要 较 大 的 管理 工作 量 。 

对 称 密 钥 加 密 依 应 用 目标 可 分 为 流 式 加 密 和 分 组 加 密 两 大 类 。 常 用 的 
对 称 密 钥 加 密 技 术 有 Blowfish、TEA、DES、AES、IDEA、SMS4、RC4 等 ,本 章 
分 别 讨论 其 原理 和 详细 算法 。 


10.2 流 式 加 密 


流 式 加 密 (Stream Cipher) 技 术 一 般 面向 以 比特 、 字 节 为 单位 的 信息 流传 
输 方式 ,通常 要 求 连续 ,不 间断 地 发 送 数据 ,而 接收 方 同样 持续 接收 并 处 理 数 
据 , 加 密 和 解密 过 程 应 与 之 紧密 结合 , 既 要 不 改变 、 不 影响 原 有 的 传输 方式 ， 
又 要 具备 较 高 的 运算 效率 和 安全 性 。 

RC4 是 Ron Rivest( 也 是 RSA 算法 的 发 明 人 之 一 ) 于 1987 年 设计 的 一 
种 流 式 对 称 加 密 方法 ,采用 可 变 密 钥 长 度 .面向 字 节 操作 。RC4 算法 执行 效 
率 高 , 密 钥 选 取 比 较 灵 活 , 因 此 在 SSL/TLS、802. 11/WEP 等 许多 网 络 应 用 
系统 中 得 到 使 用 ,成 为 最 重要 的 流 式 加 密 算法 。 

RC4 算法 采用 可 变 长 密 钥 , 密 钥 长 度 可 在 1 一 256B(8 一 2048b) 之 间 随 意 
选取 ,可 对 任意 长 度 的 明文 实施 加 密 和 解密 , 密 钥 长 度 与 被 加 密 的 信息 长 度 
无 关 。 事 实 上 可 以 做 到 加 密 一 个 字 节 发 送 一 个 字 节 、 接 收 一 个 字 节 解密 一 个 
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字 节 ,完全 满足 流 媒 体 业 务 的 需要 。 

RC4 算法 以 随机 置换 原理 为 基础 ,计算 方法 简便 、 高 效 。 分 析 显 示 , 当 密 钥 长 度 达 到 
16B(128b) 以 上 时 ,具有 较 强 的 抗 攻 击 能 力 。 

设 密 钥 KK 的 长 度 为 1B,0 二 /256, 输 入 明文 为 M, 输 出 密 文 为 C。RC4 加 密 和 解密 算 
法 分 四 步 执行 。 


10.2.1 状态 向 量 初始 化 


设 : 状态 向 量 $={S[L0], SL[1],，S[2], …，S[255]) , 令 S[ 门 =i,i=0,1,…,255, 即 状 
态 相 邻 的 256 个 元 素 依 次 赋值 0 一 255 。 

在 整个 计算 过 程 中 ,S 的 各 个 元 素 仅仅 进行 位 置 的 交换 ( 即 数值 换 位 ), 而 始终 包含 0 一 
255 这 256 个 数值 。 


10.2.2 密 钥 初始 化 


设 : 临时 向 量 T 一 4TL0]，TL1]，T[2]，…，TL255]}。 将 密 钥 K 循环 赋值 给 工 , 即 
T[i]=K[i mod 门 ,一 0,1,… ,255。 
此 时 , 密 钥 天 已 经 完成 了 使 命 ,后 续 算 法 中 不 再 使 用 。 


10.2.3 初始 置换 


用 向 量 T 产 生 S 的 初始 置换 。 根 据 T[ 疏 的 值 ,将 S[ 门 与 S$ 中 指定 元 素 进行 置换 ( 即 换 
位 swap) 操 作 。 置 换 方法 用 以 下 伪 代 码 表示 : 
F 
for (i=0 to 255) dof{ 
j= (j+ Ss[i] + TIi]) nod256; 
swap( S[i], S[j] );} 
初始 置换 操作 的 本 质 就 是 根据 密 钥 的 值 ,改变 原来 $ 中 呈 升 序 排列 的 数值 ,使 之 成 为 比 
较 随 机 的 分 布 。 至 此 ,T 也 不 再 使 用 ,算法 初始 化 阶段 完成 。 


10.2.4 加 密 运 算 


对 于 输入 明文 M, 若 长 度 为 nB, 其 字 节 流 为 ML&],0 过 k=n, 经 过 加 密 运 算 , 应 输出 密 
文 C, 密 文字 节 流 为 CLA],0<A<w。 加 密 运算 过 程 如 下 ， 
i 
(k=0 to n) dof 
(i+1)mod256; 
(了 + S[i] ) mod 256; 
swap( S[i], S[j] ); 
t= (S[i] + S[j] ) mod 256; 
C[k] = M[k]®S[t];} 


运算 过 程 可 以 描述 为 : RC4 加 密 循 环 往复 地 使 用 状态 向 量 $, 每 个 明文 字 节 与 $ 生成 
的 数值 进行 异 或 (中) 操作 ,得 到 密 文字 节 , 同 时 5 中 的 元 素 不 断 换 位 。 长 度 值 n 实际 上 不 起 
任何 作用 ,加 密 过 程 可 以 不 断 进 行 下 去 。 
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RC4 解密 的 过 程 与 加 密 完全 一 致 ,因为 密 钥 相同 ,对 S 中 的 元 素 进行 换 位 的 机 制 相 同 ， 
则 解密 方 获得 的 “ 密 钥 流 ” 是 相同 的 ,那么 经 过 同一 数值 的 异 或 操作 , 密 文字 节 将 还 原 为 明文 
i 


10.3 分 组 加 密 


10.3.1 分 组 加 密 原 理 


分 组 加 密 (Block Cipher) 是 以 数据 块 为 单位 ,进行 整体 变换 ,从 明文 块 生成 密 文 块 , 一 块 
数据 加 密 完成 后 继续 加 密 下 一 块 ; 解密 运算 也 是 按 密 文 块 依次 进行 。 就 加 密 算 法 本 身 而 
言 ,每 一 块 数据 的 加 密 和 解密 都 是 相互 独立 的 。 

设 分 组 大 小 为 aB。 明 文 数据 交付 加 密 前 ,需要 先进 行 数据 填充 (填充 数据 可 为 任意 数 
值 ), 如 图 10. 1 所 示 ,使 总 长 度 为 nB 的 整数 倍 。 最 后 4B 为 长 度 字 段 ,用 以 表示 有 效 数 据 的 
长 度 。 


J 


最 后 一 块 的 尾部 不 足 4B 一 一 增加 的 分 组 
图 10.1 分 组 加 密 准备 


思考 : 如 果 原 始 数据 恰好 是 7 也 的 整数 倍 应 如 何 处 理 ? 

显然 ,对 nB 的 分 组 ,有 2" 个 不 同 的 明文 分 组 2" 个 不 同 的 密 文 分 组 ,相互 间 共 有 2”! 
个 非 奇异 的 对 应 (变换 ) 关 系 。 

如 图 10. 2 所 示 ,4b 明文 分 组 M 一 (MsM:M Mo) 共 有 2 一 16 种 编码 组 合 ,编码 器 的 16 
个 输出 分 别 为 Xe 一 Xi 。 对 于 一 种 特定 的 对 应 转换 关系 ,可 一 对 一 地 映射 为 Ye 一 Yf, 进 而 可 
解码 为 4b, 输 出 C=(CsCzC1Co),C 即 为 明文 M 加 密 后 的 密 文 。 例 如 ,4b 明文 为 1001( 十 六 
进 制 9) ,编码 结果 应 为 Xe ,根据 图 10. 2 所 示 的 对 应 关系 ,被 映射 为 Y; , 则 解码 为 密 文 0111 。 

这 一 分 组 编码 ,解码 及 变换 过 程 就 是 分 组 加 密 的 基本 原理 , 且 过 程 是 可 逆 的 , 即 分 组 解 
密 遵 循 同样 的 原理 。 

如 果 改 变 图 10. 2 中 的 变换 关系 ,对 同一 个 明文 会 输出 不 同 的 密 文 ,相当 于 采用 了 不 同 
的 密 钥 ,产生 不 同 的 加 密 结 果 。 换 言 之 ,变换 关系 本 身 就 是 密 钥 ,每 一 种 变换 就 是 一 个 密 钥 。 

由 于 这 个 加 密 模 型 穷尽 了 所 有 的 编码 和 映射 关系 ,因此 是 理想 分 组 加 密 方法 ,就 是 说 无 
法 做 得 比 这 更 好 了 。 然 而 ,该 模型 存在 一 个 不 容 忽视 的 问题 : 密 钥 过 长 。 为 了 证 明 这 一 点 ， 
不 妨 将 4b 明文 的 所 有 编码 按 升序 排列 ,将 密 文 与 明文 对 应 列 出 。 以 图 10. 2 所 示 的 变换 ,可 
得 如 图 10. 3 所 示 的 映射 关系 表 。 每 一 种 不 同 变换 均 可 产生 一 张 唯一 的 映射 关系 表 (其 中 明 
文 编码 统一 为 升序 排列 ,都 是 相同 的 ), 总 共有 2"! 张 表 。 
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输入 4b 明 文 ~ [M4| Mm lm | 
1 1 i 
nb 一 2"b 编 码 器 


BR 让 i et Rt a i 


wl ll ell [el ll el sl ll ll sl | ll 


-| st 有 东 


wlllsl|lsl [mllyllwllyl [wllyll | 


本 


阅 
| 


2mb 一 mb 解码 器 
1 
输出 4b 密 文 一 cl @ GC Cs 


图 10.2 4b 分 组 加 密 变 换 原理 


明文 | 0000 | 0001 | 0010 | 0011 | 0100 | 0101 | 0110 | 0111 | 1000 | 1001 | 1010 | 1011 | 1100 |1101 | 1110 | 1111 


密 文 | 1101 | 0100 | 0000 | 1000 | 1010 | 0001 | 1111 | 1100 | 0010 | 0111 | 0101 | 1110 | 0110 | 1001 | 1011 | 0011 


图 10.3 4b 分 组 加 密 映 射 关 系 


因此 ,既然 变换 关系 就 是 密 钥 , 则 4b 分 组 加 密 系统 的 每 一 种 变换 关系 就 需要 一 个 4X2! 二 
64b 的 密 钥 。 那 么 ,nb 分 组 加 密 系统 的 密 钥 长 度 就 是 wnX2"b。 对 于 常用 的 64b 分 组 ,其 密 
钥 长 度 将 达到 惊人 的 10”b。 过 长 的 密 钥 对 数据 加 密 的 计算 ,管理 均 会 带 来 不 利 影响 。 
为 此 ,分 组 加 密 算 法 设计 实际 上 采用 的 是 理想 分 组 加 密 的 近似 体制 , 取 不 同 映射 关系 的 
一 个 子 集 , 以 减少 映射 关系 数 为 代价 ,换取 密 钥 长 度 的 缩短 ,使 加 密 方法 具有 实用 性 。 
仍然 以 4b 分 组 加 密 为 例 。 设 明文 为 (pi,p: ,加 , 思 ), 密 文 为 (CC ,Cs,C4)。 定 义 如 
下 线性 方程 组 (类 似 Hill 密码 ): 
Ci = (kupitt kz pst ksps tt kups) 
C2 = (ka pi t kzs pz + kzs ps + kes ps) 
Cs = (kaipi 十 Raz pe + kas ps 十 ka ps4) 
Cs = (kupit kp kssps + kups) 


或 以 矩阵 表示 为 


Cs ku kz ks kullps 
其 中 司 , 一 1,2,3,4, j= 二 1,2,3,4 为 一 位 二 进 制 比 特 。 如 果 将 (ku ， kis ，…， ks ) 作 为 密 钥 ， 
则 4b 分 组 加 密 算 法 成 立 , 且 支持 逆 变 换 , 可 以 解密 。 此 例 中 , 密 钥 长 度 缩短 为 4? 二 16b。 
同 理 推 广 到 nb 分 组 加 密 , 密 钥 长 度 将 从 理想 分 组 加 密 方 法 的 nX2"b 大 大 缩短 为 n?*b。 
本 例 说 明 密 钥 长 度 缩短 是 可 行 的 ,当然 保密 性 能 也 会 相应 降低 。 如 果 加 密 算法 设计 合理 ,就 
会 在 密 钥 长 度 和 加 密 能 力 间 找到 适当 的 平衡 点 。 
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10.3.2 Feistel 加 密 模 型 


根据 信息 论 创 始 人 香农 (Claude Shannon) 的 加 密 理 论 ,使 用 信息 编码 的 混淆 
(confusion) 和 扩散 (diffusion) 方 法 ,可 以 抵抗 基于 统计 方法 的 密码 分 析 ( 破 解 )。 混 淆 可 以 
尽 可 能 使 密 文 和 密 钥 间 的 统计 关系 复杂 化 ,阻止 发 现 密 钥 ; 扩散 则 使 明文 的 统计 特征 消散 
在 密 文中 ,可 以 让 每 个 明文 编码 单元 尽 可 能 多 地 影响 多 个 密 文 编码 单元 。 考 察 下 式 ， 

ca 一 SC 26) 

式 中 ; m 为 明文 字母 ,c, 为 密 文字 母 , 则 每 个 mj; 都 会 影响 到 个 密 文 字母 ,就 是 一 种 扩散 方 
法 的 例子 。 

在 对 称 密 钥 加 密 运 算 中 ,常用 的 代 换 (substitution) 和 置换 (swap) 分 别 就 是 混淆 和 扩散 
的 实际 应 用 。 代 换 采 用 函数 运算 方法 ,置换 通过 数据 的 交叉 换 位 实现 。Feistel 加 密 模 型 就 
是 基于 这 一 理论 设计 的 。 

设 : 明文 和 密 文 为 2wb, 密 钥 为 K。 图 10.4 所 示 为 Feistel 加 密 的 算法 结构 。 该 模型 
由 i 轮 加 密 运 算 组 成 ,每 轮 具有 相似 的 运算 方法 ,分 别 使 用 由 密 钥 K 生成 的 该 轮 次 的 子 密 
钥 K;。 每 轮 的 输入 被 分 为 wb 的 左 半 部 分 和 右 半 部 分 ,进行 代 换 运 算 , 在 输出 前 左 、 布 部 分 
进行 置换 运算 。 算 法 结束 前 再 进行 一 次 左右 置换 运算 ,最 终 合并 成 2wb 的 密 文 。 


输入 一 明文 2wb) 密 钥 K 


1 


1 

1 
Ki | 
1 
1 
1 
J 


r- 


图 10.4 ”Feistel 加 密 模型 算法 结构 


解密 过 程 与 加 密 过 程 完 全 一 致 (而 不 是 逆向 进行 ) ,但 应 逆序 使 用 子 密 钥 。 证 明 如 下 。 

不 失 一 般 性 , 设 加 密 算法 执行 16 轮 。 并 设 : 加 密 时 ,明文 为 LE。 | RE ,输出 密 文 为 
RE |LEws ; 解密 时 , 密 文 为 LDo|RD, ,输出 密 文 为 RDis | LD 。 

显然 有 : LD。 一 RE'。; RD, 二 LE。 

对 于 加 密 过 程 : LE's=RE's; RE =LE'::@f (RE's, Kis), 

对 于 解密 过 程 第 1 轮 : LD。 一 REis; RD。 一 LEs; LD 一 RDo。 一 LE's 一 RE's; 
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RDi= EDO (RD Ki) = REr OF RE Er) 
= [ELEnOY (REs: Ko) @ (RESs: Ki) = LE 

因此 ,解密 第 1 轮 输 出 工 Bis |REs , 正 是 加 密 第 16 轮 输入 左右 互 换 的 值 。 

依 此 类 推 ,解密 第 16 轮 : LDis = RE,; RD's= LE,os 最 终 换 位 输出 为 LE。 | RE , 正 是 原 
始 明文 。 证 毕 。 

Feistel 加 密 模型 是 对 称 密 钥 加 密 算法 的 指导 性 技术 框架 ,TEA、Blowfish、DES 等 算法 
均 符合 这 一 模型 。 加 密 过 程 采用 的 i 轮 次 运算 又 称 为 迭代 (iteration) 操 作 。 和 迭代 轮 数 越 多 ， 
密 文 信息 的 混淆 和 扩散 越 彻底 ,保密 性 就 越 强 , 但 会 带 来 加 解密 速度 变 慢 的 问题 ,因此 通常 
选择 16 轮 迭 代 。 此 外 ,分 组 长 度 和 密 钥 长 度 越 长 ,安全 性 能 也 越 好 ,但 同样 存在 拖 慢 运算 速 
度 的 问题 ,常见 的 分 组 长 度 选择 64b 或 128b, 密 钥 长 度 则 会 根据 算法 指标 、 密 级 要 求 来 
确定 。 


10.3.3 TEA 算法 


微型 加 密 算法 (Tiny Encryption Algorithm,TEA) 是 一 种 轻 量 级 的 对 称 密 钥 分 组 加 密 
算法 ,由 剑桥 大 学 的 David Wheeler 和 Roger Needam 提出 。 算 法 符合 Feistel 加 密 模 型 。 

TEA 不 是 通过 算法 的 复杂 性 来 保证 安全 ,而 是 依赖 加 密 迭 代 的 轮 次 数 ( 可 选 16 .32 或 
64 轮 ) 。 算 法 执行 速度 快 ,简单 易 实 现 , 并 具有 较 强 的 抗 差 分 攻击 能 力 ,适合 信息 保密 强度 
要 求 不 高 ,但 通信 效率 要 求 较 高 的 应 用 ,如 即时 通信 系统 。 

TEA 算法 使 用 了 一 个 神秘 常数 6, 以 保证 每 一 轮 加 密 有 所 差异 。 而 6 来 源 于 黄金 比 
率 9: 


p= = 1.618 033 988 7 


定义 6: 


32 
6 二 ( 语 一 1) x 2" = 0x9e3779b9 


TEA 面向 64b 分 组 明文 进行 加 密 , 密 钥 长 度 为 128b。TEA 加 密 和 解密 算法 (32 轮 迭 
代 ) 流 程 如 下 : 


/* 输入 明文 为 t[2], 密 钥 为 k[4], 数 组 元 素 均 为 32b * / 
void TEA_encrypt (uint32 x*t, uint32 x*k) 
{ 

uint32 delta= 0x9e3779b9, s=0; 


for (i=0; i<32; i++) 
{ 
s += delta; 
t[0] += ((t[1]<<4) + k[0]) ® (t[1] + s) ® ((t[1]>>5) + k[1]); 
t[1] += ((t[0]<<4) + k[2]) 四 (t[0] + s) ® ((t[0]>5) + k[3]); 
} 
} /* 函数 子 程序 返回 后 , t[0] 1t[1] 为 密 文 * / 


/* 输入 密 文 为 t[2], 密 钥 为 k[4], 数 组 元 素 均 为 32b x / 
void TEA decrypt (uint32 x*t, uint32 xk) 


169 


170 
人 2 版 ) 


{ 
uint32 delta = 0x9e3779b9, s= 0xc6ef3720; 


for (i=0; i<32; i++) 
{ 
t[1] -= ((t[0]<<4) + k[2] 四 (t[0] + s) ® ((t[0]>5) + k[3]); 
t[0] -= ((t[1]<<4) + k[0] 四 (t[1] + s) ® ((t[1]>5) + k[1]); 
s -= delta; 
} 
} /* 函数 子 程序 返回 后 , t[0]|t[1] 为 明文 */ 


算法 流程 中 ,加 法 和 减法 运算 均 作 mod 2”, 曙 为 按 位 异 或 运算 ,“<<” 和 “>>” 分 别 表示 
32b 逻辑 左 移 和 逻辑 右 移 运算 。 
如 图 10. 5 所 示 ,TEA 算法 的 一 个 循环 包含 了 两 轮 相似 的 迭代 运算 ,不同 之 处 仅 为 使 用 
了 不 同 的 子 密 钥 。 程 序 代码 在 实现 代 换 运算 的 同时 ,巧妙 地 实现 了 隐 含 的 换 位 置换 操作 。 
132b 输 入 32b 输 入 4 


ey 


r=-- 


1 个 循环 
2 轮 友 代 


和 


"fm 
图 10.5 TEA 算法 加 密 运算 结构 


10.3.4 Blowfish 算法 


Blowfish 算法 是 1993 年 由 布鲁斯 。 施 奈 尔 (Bruce Schneier) 开 发 的 对 称 密 钥 分 组 加 密 
算法 ,符合 Feistel 加 密 模型 ,分 组 长 度 为 64b, 密 钥 长 度 从 1 至 448b 可 变 。 与 DES 等 算法 
相 比 ,Blowfish 算法 具有 非常 紧凑 、 易 于 实现 .处 理 速度 很 快 . 无 须 授 权 即 可 使 用 等 特点 , 广 
泛 用 于 SSH .文件 加 密 软 件 等 应 用 。 

Blowfish 是 一 种 会 鼓 气 的 鱼 , 遇 到 危险 时 会 把 身体 鼓 成 大 大 的 圆 球状 ,完全 隐藏 其 本 来 
面目 ,并 用 庞大 的 体形 来 吓 退 强 敌 。 

Blowfish 算法 分 两 个 部 分 : 密 钥 准备 ( 密 钥 扩展 ) 和 数据 加 密 。 

1. 密 钥 准备 

Blowfish 算法 使 用 大 量 的 子 密 钥 (subkey)。 在 加 密 或 解密 过 程 开始 前 ,应 先 将 密 钥 K 
转换 为 各 迭代 轮 次 所 需 的 子 密 钥 ,总 长 度 为 4168B。 

定义 数组 为 p-array[1..18j],S 盒 为 二 维 数组 s-bor[1..4] [0..255j], 数 组 元 素 均 为 
32b 类 型 ,用 于 存放 子 密 钥 。 

Blowfish 子 密 钥 的 生成 分 为 4 步 ,其 中 需要 使 用 Blowfish 加 密 算法 ( 见 步 又 (2); 但 不 
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用 担心 ,不 会 发 生 * 先 有 鸡 还 是 先 有 和 蛋 ?的 两 难 问题 ) 。 

(1) 用 固定 的 值 初始 化 prarray 和 s-box 数组 : 

prarray[1]= 0x243f6a88, prarray [2]= 0x85a308d3, prarray [ 3] = 0xl3198a2eh, 
prarray[4|]=0x03707344 ,prarray[5]=0xa4093822,*…, parray[ 18]=0x8979fblb; sbozr[L1] 
[0]=0xd1310ba6, sbozr[1][1]=0x98dfb5ac,*… ,sbor[1]L255]=0x6e85076a, sbor [2][0]= 
Ox4b7a70e9,s-bor[2][1]=0xb5b32944,sboz[2][2]=0xdb75092e,… 

(2) 循环 使 用 K ,顺序 取 KK 的 32b 数值 ,依次 对 prarray[1J 到 prarrayL18J 作 异 或 运算 
(相当 于 把 天 变 成 18X32b 的 等 效 密 钥 KK…K)。 设 64b 变量 Z 一 0。 

(3) 使 用 到 目前 为 止 得 到 的 prarray 和 s-boz ,对 Z 进行 Blowfish 加 密 运 算 ,得 到 更 新 
后 的 Z。 

(4) 赋值 parray[1] = prarray[L2j] 二 2, 循 环 返 回 步骤 (3)。 当 下 一 次 循环 到 这 一 步 
时 ,应 赋值 parray[3j 和 prarray[4], 依 次 类 推 ,直到 所 有 prarray 元 素 更 新 完毕 ,接着 更 
新 所 有 sbox 元 素 。 

子 密 钥 生成 循环 共 需 进行 521 轮 ,之 后 , 子 密 钥 已 经 在 prarray 和 5-box 中 准备 好 ,可 以 
进行 正式 的 数据 加 密 运 算 了 。 

2. 数据 加 密 

Blowfish 算法 数据 加 密 过 程 采用 16 轮 Feistel 迭代 结构 。 设 输入 64b 明文 为 X。 将 X 
拆 分 为 左 、 右 两 部 分 ,成 为 两 个 32b 数据 XL 和 Xk。 

算法 采用 的 f 函数 是 对 XL 进行 操作 。X 被 均 分 为 4 个 8b 数据 a,b,c 和 d。 函 数 表 
达 式 如 下 ( 式 中 加 法 运算 均 需 mod 2”, 四 为 异 或 运算 ): 

f (X1) 一 (Cooz[1][a] 十 sboz[2]LO) @® sbor[L3JLe]) 十 *boz[4][d] 

加 密 运算 如 下 : 

Fori=1to16Do /x* 总 共 16 轮 迭 代 运 算 */ 


Xi.= XiDp-array[i] 
Xa= f (XL.)DXn 


Swap( Xr, Xn) /* 每 轮 结束 前 的 换 位 置换 操作 * / 
Next i 
Swap( Xi, Xn) /* 算 法 结束 前 的 换 位 置换 操作 * / 


Xn= xn 中 Parray[17] 

XL.= 和 由 Parray[18] 

最 后 ,重新 拼接 XL 和 Xe 即 为 64b 密 文 ,加 密 完 成 。 解 密 过 程 与 加 密 完 全 相同 ,只 是 逆 
序 使 用 prarray[1..18]。 


10.3.5 SMS4 算法 


SMS4 算法 是 基于 Feistel 模型 的 对 称 密 钥 分 组 加 密 算法 ,作为 中 国 的 第 一 个 商用 密码 
标准 ,于 2006 年 1 月 发 布 ,在 WiFi 的 中 国 技术 标准 WAPI 等 体系 中 得 到 应 用 。 

SMS4 采用 的 数据 分 组 长 度 和 密 钥 长 度 均 为 128b, 数 据 处 理 单位 为 8b 和 32b ,进行 32 
轮 非 线 性 迭代 运算 。 

如 图 10.6 所 示 ,SMS4 将 128b 的 明文 分 割 为 4 个 32b 分 组 块 ,采用 8 次 循环 ,每 次 使 
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用 轮 函数 f 进行 4 轮 迭 代 , 每 轮 使 用 一 个 子 密 钥 ( 轮 密 钥 )。 子 密 钥 由 128b 的 密 钥 经 扩展 函 
数 g 生成 。 最 后 , 反 向 排列 32b 的 Xs 一 Xs ,合并 为 128b 的 密 文 。 


128b 明 文 128b 密 钥 


人 
itt 


Xho | [x7 | [Xv | [ X77 


128b 密 文 


图 10.6 ”SMS4 加 密 算 法 结构 


SMS4 的 加 密 运 算 过 程 可 用 如 图 10.7 所 示 的 等 价 变换 图 表示 。 


128b 明 文 
32b 32b 32b 32b 


| 


区 为 总 入 沁 汶 汪 = 

1 

K 1 

第 ! 轮 

1 

1 

A 第 ? 轮 

1 

1 

K 1 

第 5 轮 | 

Et ee a ee ed ee 四] 

1 

1 Kar 2 

第 32 轮 | 

ww] x || x || Es || Be {| xs 32b || 32b [| 32b || 32b | 


图 10.7 SMS4 加 密 算法 等 价 变换 


设 Xi 为 32b 寄存 器 ,为 轮 密 钥 。SMS4 每 轮 的 迭代 运算 由 按 位 异 或 (四 )、 循 环 左 移 


(<<<) 和 变换 函数 S 所 组 成 ,如 图 10. 8 所 示 , 轮 函数 f 定义 如 下 : 
Xin = f (Xi, Kin»s Kits ,Xits ,ki) 
= Xi OT(Xin © Xi D Xits DO ki), 
Ta 二 L(Y 
L(xz)= Xr<<2) Br<<10) DB (r<<18) O (zr <<<24) 
其 中 32b 的 S(z) 函 数 由 4 个 并 列 的 8b 单元 的 S-box 变换 所 构成 ,算法 如 图 10. 9 所 示 。 


+ + 
洲 区 3 全 
es 
1 
' 
上 
| 
1 函数 
1! 第 i+1 轮 
{07,3l 


S-box 采用 查 表 选 择 法 ,使 用 如 表 10. 1 所 示 的 置换 选择 表 , 属 于 一 种 非 线 性 变换 方式 。 
表 中 的 256 个 数值 从 0x00 到 0xff, 具 有 唯一 性 。 设 S-box 的 8b 输入 为 十 六 进 制 0xRC， 
S-box 以 0x0R 为 行 号 .0x0C 为 列 号 进行 查 表 操作 , 查 表 所 得 的 数据 作为 Sbox 的 输出 结 


图 10.8 SMS4 加 密 算法 轮 函数 


果 。 例 如 ,0x2a 经 S-box 输出 为 0x0b。 
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输入 x(32b) 
8b 8b gb 8b 
i i Y 
S-box | | S-box | | S-box | | S-box 
1 1 
8b 8b 8b 8b 
输出 SG)(32b) 
图 10.9 SMS4 算法 S 函数 


表 10.1 S-box 置换 选择 表 
ct 
了 | | 
0 d6 | 90 |e [fe|c [el|l3d|lbr|i1ie|be|14|c2 |28 | fb | 2 |05 
1 2b | 67 | 9a|76 |2a|be|o04|c3 |aa|l44|13|26|49|8 |o0 |99 
2 ge | 42 | 50 | f4 |91| ef |98|7a|33|54|0b|43|ed|lcf |ac|62 
3 ed |b3|1c|a9|c |o8 | es |95| 8 | adf|lo94| fa|75 | gf | 3f |a6 
4 47 | 07|a7r | fe|l fs|73|17| bal|ls3|59 | 3 |19 | e |85 | 4f|ag 
5 68 | 6b|81|b2|71|64|dalsgsb|lfs |eb | of|4b|70 | se | 9d|35 
6 le | 24 | oe | se|63| ss | dlaz|25|22| 7 | 3b|o01|21|78 | 87 
7 d4 |o0|46|57| 9f|d3|27|52 | 4c|36 |o02| er la|lc | cs | ge 
8 ea | bf|8a|d2|40|c7|38 |bs|a3|f |f2|ce|fo|l6l|15|al 
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R 0 1 2 3 4 5 6 7 8 9 a b c d e ‘ 
9 e0 ae 5d | a4 9b | 34 la | 55 ad 93 32 | 30 {5 8c | bl | e3 
a ld f6 e2 2e | 82 66 ca | 60 c0 29 23 | ab | 0d | 53 4e | 6f 
b d5 db 37 | 45 de fd 8e 2f | 03 ff 6a 72 | 6d | 6e | 5b | 51 
8d lb | af 92 | bb | dd | bc 7f 11 d9 5c | 41 1f 10 | 5a | d8 
d 0a | cl 31 88 a5 cd 7b | bd | 2d 74 d0 | 12 | b8 | e5 b4 | bo 
e 89 69 | 97 4a | 0c | 96 | 77 7e | 65 b9 fl 09 c5 6e | c6 84 
f 18 f0 7d ec 3a | dc|4d|120 |79 ee 5f 3e | d7 cb | 39 | 48 


SMS4 加 密 算法 每 轮 使 用 不 同 的 32b 子 密 钥 , 每 个 子 密 钥 都 是 由 128b 原始 密 钥 经 


以 下 算法 生成 。 


设 4 个 32b 常数 FKi,i 一 0,1,2,3,FKo 王 0xA3B1BAC6,FK, 王 0x56AA3350,FK: 一 
0x677D9197 ,FKs: =0xB27022DC。 


又 设 32b 参数 CK ,i=0,1,… 


,31, 定 义 


CK; =< ckLiJL0] | ckLiJL1] | ck[LiJL2] | ckLiJ[3] > 
即 CK; 是 由 4 个 一 组 的 8b 数值 ck[ 让 [jj],j 二 0,1,2,3 拼合 而 成 ,而 ck[i][j] 可 根据 其 下 标 


进行 取 值 : 


数 为 


70777e85, 8c939aal, a8afb6bd, c4cbd2d9, 
e0e7eef5, fc030all, 181f262d, 343b4249, 


50575e65, 6c737a81, 888f969d, a4abb2b9, 


cOc7ced5, dce3eafl, f8ff060d, 141b2229, 
30373e45, 4c535a61, 686f{767d, 848b9299， 
a0a7aeb5, becc3cadl, d8dfe6ed, f4fb0209, 


10171e25, 2c333a41, 484f565d, 646b7279。 


ck[iJL] = (4i+j) X7 (mod 256) 
由 此 可 得 32 个 CK; 参 
00070e15, 1c232a31, 383f{464d, 545b6269, 


将 密 钥 K 分 割 为 4 个 32b 数值 , 即 K=(K ,Ki,K,,K;)。 设 每 轮 使 用 的 子 密 钥 为 有 ,i 二 
0,1,…,31,2; 为 中 间 变 量 , 密 钥 变 换算 法 如 下 : 


Z; = K; ® FFK,;, 
ki= Zin = Zi:OT (Zn Zi DZis DCK,) 
=L'(S(z)) 


TY 
L'(z) 


似 , 便 于 算法 的 实现 。 


SMS4 算法 的 解密 过 程 与 加 密 完全 相同 ,但 逆序 使 用 子 密 钥 。 


10.3.6 ”DES 算法 


j 一 0,1,2,3 


=zx@(r<13) (rz<23) 
可 见 ,SMS4 子 密 钥 的 生成 同样 采用 了 加 密 运 算 中 的 S 函数 变换 ,迭代 运算 方法 也 很 类 


数据 加 密 标准 (Data Encryption Standard,DES) 是 信息 加 密 领 域 最 著名 ,应 用 最 广泛 的 


Ws 
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技术 ,于 1977 年 作为 美国 联邦 标准 发 布 ,采用 DEA(Data Encryption Algorithm) 算 法 ,但 习 
惯 上 就 以 DES 指 代 DEA。 

DES 针对 64b 数据 块 (分 组 ) 进 行 加 密 和 解密 操作 ,属于 对 称 密 钥 分 组 加 密 算 法 。DES 
采用 的 密 钥 被 称 为 会 话 密 钥 (Session Key) ,可 以 是 64b 的 任意 数 。 密 钥 每 字 节 的 最 高 位 作 
为 奇偶 校 验 位 ,因此 实际 密 钥 长 度 为 56b。 

任何 输入 明文 被 划分 成 64b 分 组 单元 , DES 对 每 个 分 组 进行 16 轮 迭 代 运 算 ,每 轮 使 用 
一 个 48b 的 子 密 钥 ,而 子 密 钥 由 56b 的 原始 密 钥 变换 而 来 。DES 加 密 算 法 如 下 。 

首先 ,对 64b( 编 号 为 bitu 一 bits' ) 输 入 分 组 进行 初始 置换 (Initial Permutation,IP) ,并 把 
输出 分 为 32b 的 Lo 、R。 两 部 分 。 置 换 规则 如 表 10. 2 所 示 。 

表 10.2 DES 初始 置换 表 
Lo(32b) Ru(32b) 


58,50,12,34,26,18,10,2, 60,52,44,36,28,20,12,4, 57,49,41,33,25,17,9,1, 59,51,43,35,27,19,11,3, 
62,54,46,38,30,22,14,.6, 64,56,48,40,32,24,16,8, 61,53,45,37,29,21,13,5, 63,55,47,39,31,23,15,7 


然后 ,DES 进入 16 轮 的 迭代 运算 六 ,包括 扩展 换 位 运算 .选择 压缩 运算 .置换 运算 等 步 
又 ,每 轮 使 用 一 个 子 密 钥 K;。 运 算 过 程 如 表 10. 3 所 示 。 
表 10.3 DES 迭代 运算 了 


La32b) Ri1(32b) 
扩展 换 位 运算 E 一 48b 
16 轮 与 Ki- 按 位 异 或 运算 (48b) 
和 迭代 运算 / Y 选择 压缩 运算 S -> 32b 
1 一 1,……，16 置换 运算 P -> 32b 
与 Li-1 按 位 异 或 运算 (32b) 
Li(32b)<— Ri R; (32b) 


经 过 16 次 迭代 运算 /后 ,得 到 Li 和 Ri, 以 此 作为 输入 ,进行 如 表 10.4 所 示 的 北 置 换 
(CIP ) 操 作 , 即 可 得 到 输出 的 64b 密 文 。IP “正好 是 IP 的 逆 变 换 , 例 如 ,bit 经 过 IP 后 ,在 
bitw 位 置 ; 而 通过 IP 后 ,bitw 换 回 到 bit 。 

表 10.4 DES 逆 置 换 表 


Lis t+Ris (64b) 


40, 8, 48, 16, 56, 24, 64, 32, 39, 7, 47, 15, 55, 23, 63, 31, 
38, 6, 46, 14, 54, 22, 62, 30, 37, 5, 45, 13, 53, 21, 61, 29, 
36, 4, 44, 12, 52, 20, 60, 28, 35, 3, 43, 11, 51, 19, 59, 27， 

1, 41, 9, 49, 17, 57, 25 


34, 2, 42, 10, 50, 18, 58, 26, 33, 1, 41，9， ，57， 


扩展 换 位 运算 忆 实 现 32b 到 48b 变换 ,如 表 10. 5 所 示 。 
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表 10.5 DES 扩展 换 位 运算 EE 
Ri (32b)— 48b 


忆 
~ 
~ 
w 
A 
a 
a 
中 
要 
oo 
避 
oo 
wo 
- 
© 
汪 
[1 


12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 


置换 运算 己 实 现 32b 的 换 位 操作 ,如 表 10. 6 所 示 。 

选择 压缩 运算 S 如 图 10. 10 所 示 。 输 入 的 48b 数据 被 均 分 为 8 个 ,各 为 6b, 分 别 由 S 
所 包含 的 S 一 Ss 八 个 选择 函数 (S-box) 进 行 处 理 。 每 个 选择 函数 的 功能 是 把 6b 数据 经 变 
换 得 到 4b 数据 ,最 终 把 48b 输入 值 压缩 转换 为 32b。 


表 10.6 DES 置换 运算 P 


32b 


48b 输 入 寄存 器 


Yea 


| 
Ey 
o 


sl ls ls lis les ls lls se 


选择 函数 S-box 


ye 


32b 输 出 寄存 器 


图 10.10 DES 选择 压缩 运算 S 


选择 函数 S, 一 Ss 采用 查 表 变 换 方法 。 如 表 10. 7 所 示 , 每 个 S-box 均 占有 4 行 (0~3 
行 )、 每 行 16 列 (0 一 15 列 ) 的 数值 矩阵 。 设 输入 6b 数据 为 D1D;D;D,D;D。, 令 列 号 = 
D,D; D, Ds ( 取 值 范围 为 0,…,15), 行 号 = D,De( 取 值 范围 为 0,…,3) , 查 表 得 到 对 应 的 数 ， 
以 4b 二 进 制 表示 , 即 得 一 个 S-box 的 输出 。 例 如 ,S 输入 110110 , 则 行 、 列 号 为 (2,11) , 查 
表 得 6 ,输出 为 0110。 


表 10.7 DES 选择 压缩 运算 的 Sbox 表 


Si: S;: 

14,4,13,1.2,15,11.8,3,10,6,12,5,9,0,7, 2,12,4,1,7,10,11,6,8,5,3,15,13,0,14,9, 
0,15,7,4,14,2,13,1,10,6,12,11,9,5,3,8, 14,11,2,12,4,7,13,1,5,0,15,10,3,9,8,6, 
4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,0,， 4,2,1,11,10,13,7,8,15,9,12,5,6,3,0,14, 
15,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13 11,8,12,7,1,14,2,13,6,15,0,9,10,4,5,3 
Sa : Se: 

15,1,8,14,6,11,3,4,9,7,2,13,12,0,5,10, 12,1,10,15,9,2,6,8,0,13,3,4,14,7,5,11, 
3,13,4,7,15,2,8,14,12,0,1,10,6,9,11,5, 10,15,4,2,7,12,9,5,6,1,13,14,0,11,3,8, 
0,14,7,11,10,4,13,1,5,8,12,6,9,3,2.,15， 9,14,15,5,2,8,12,3,7,0,4,10,1,13,11.,6, 
13,8,10,1,3,15,4,2,11,6,7,12,0,5,14,9 4,3,2,12,9,5,15,10,11,14,1,7,6,0,8,13 


第 10 章 ”对称 密 钥 加 


Ss:: Sr: 
10,0,9,14,6,3,15,5,1,13,12,7,11,4,2,8, 4,11,2,14,15,0,8,13,3,12,9,7,5,10,6,1, 
13,7,0,9,3,4,6,10,2,8,5,14,12,11,15,1, 13,0,11,7,4,9,1,10,14,3,5,12,2,15,8,6, 
13,6,4,9,8,15,3,0,11,1,2,12,5,10,14,7, 1,4,11,13,12,3,7,14,10,15,6,8,0,5,9,2, 
1,10,13,0,6,9,8,7,4,15,14,3,11,5,2,12 6,11,13,8,1,4,10,7,9,5,0,15,14,2,3,12 
S,: Se: 
7,13,14,3,0,6,9,10,1,2,8,5,11,12,4,15, 13,2,8,4,6,15,11,1,10,9,3,14,5,0,12,7, 


13,8,11,5,6,15,0,3,4,7,2,12,1,10,14,9, 
10,6,9,0,12,11,7,13,15,1,3,14,5,2,8,4, 


1,15,13,8,10,3,7,4,12,5,6,11,0,14,9,2, 
7,11,4,1,9,12,14,2,0,6,10,13,15,3,5,8， 


3,15,0,6,10,1,13,8,9,4,5,11,12,7,2,14 2,1,14,7,4,10,8,13,15,12,9,0,3,5,6,11 


16 轮 迭 代 运 算 f 中 ,每 轮 使 用 的 子 密 钥 Ko 一 Kis 来 自 64b 初始 会 话 密 钥 K (bito 一 
bites) 。 先 实施 密 钥 缩小 选择 换 位 1( 如 表 10. 8 所 示 ), 同 时 也 去 除了 校 验 位 (每 字 节 的 最 高 
位 ,如 bit; ) ,得 到 各 28b 的 两 部 分 P 和 QQ, 作 为 每 次 计算 子 密 钥 的 输入 。 

表 10.8 DES 密 钥 变 换 缩小 换 位 1 


K(64b)—> P(28b) 十 QC28b) 


P.: 56,48,40,32,24,16,8,0,57,49,41,33,25,17,9,1,58,50,42,34,26,18,10,2,59,51,43,35 
Q: 62,54,46,38,30,22,14,6,61,53,45,37,29,21,13,5,60,52,44,36,28,20,12,4,27,19,11,3 


16 次 密 钥 变换 (i 王 0 一 15) 的 计算 方式 相同 : 对 P 和 QQ 分 别 进行 M[ 站 位 循环 左 移 ,M== 
{1,1,2,2,2,2,2,2,1,2,2,2,2,2,2,1) ,得 P' 和 Q’ ,合并 得 到 56b 后 ,再 实施 缩小 选择 换 位 
2( 如 表 10. 9 所 示 ) 运 算 , 即 获得 用 于 第 i 轮 迭 代 运 算 的 48b 子 密 钥 K;。 

表 10.9 ”DES 密 钥 变换 缩小 换 位 2 


56b(P’+Q )-— 48b(K;) 


13 16 10 23 0 4 2 27 14 5 20 9 22 1811 3 25 7 15 6 26 19 12 1 
40 51 30 36 46 54 29 39 50 44 32 47 43 48 38 55 33 52 45 41 49 35 28 31 


DES 解密 运算 方法 和 加 密 完全 一 致 ,只 是 用 相反 的 顺序 使 用 子 密 钥 。 

在 DES 诞生 之 初 , 曾 估计 要 耗资 2000 万 美元 的 专用 计算 机 连续 运行 12 小 时 才 可 能 破 
解 DES, 因 此 当时 被 认为 很 强大 。 然 而 ,这 一 经 典 的 算法 如 今 面临 安全 性 严重 不 足 的 问题 ， 
一 方面 是 破解 方法 不 断 被 探索 , 另 一 方面 主要 是 56b 密 钥 长 度 太 短 , 很 难 抵抗 性 能 越 来 越 强 
大 的 计算 机 进行 的 暴力 攻击 ,可 能 只 需 价 值 数 千 美元 的 计算 机 就 可 在 短 时 间 内 找到 密 钥 。 

改善 DES 保密 性 的 一 种 可 行 方式 为 三 重 DES(Triple-DES,3DES) , 即 对 一 个 明文 分 组 
用 3 个 相同 或 不 同 的 密 钥 实施 3 次 DES 加 密 ( 或 解密 ) 运 算 , 可 获得 大 约 相当 于 112b 长 度 
密 钥 的 强度 。3DES 方法 如 下 。 

设 加 密 操作 为 已, 解密 操作 为 D, 密 钥 为 Ki 、K;、K; , 则 可 采用 以 下 四 种 模型 之 一 实现 加 密 : 

E(KI)E(K,)E(Ks); ECK)DCK:)ECK:); E(Ki)E(K,)E(K); E(K1)D(K,) 
ECRKi), 

3DES 的 解密 方式 是 加 密 的 逆 过 程 。 例 如 ,对 E(K1)D(K;)E(K;) 模 型 的 加 密 , 解 密 应 
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为 D(K3)E(K,)D(K'), 

DES 加 密实 际 应 用 时 ,按照 在 加 密 过 程 中 对 明文 分 组 不 同 的 处 理 手 段 ,DES 有 如 下 4 
种 工作 方式 (如 图 10. 11 所 示 ) 可 供 选 择 。 设 明文 被 分 为 n 个 分 组 ,明文 和 密 文 分 组 分 别 用 
Mi 和 ci 表示 。 


明文 一 mo ml m2 上 明文 一 mo mi m2 | 
1 
1 按 位 
64b DES 加 密 1 初始 向 量 名 
分 组 中 Tv 
1 
密 文 一 而 a cy 1 密 文 一 co cl ca | 
(a) ECB ! (b) CBC 
se RR Es 
1 
明文 ~ | mo ml ma | 明文 ~ | mo mi ms 下 | 
1 
医 1 初 抬 向 
tl IJIV 上 I~ 
初始 向 量 | 
le | 1 
密 文 一 co a 2 | 密 文 一 co a C2 
1 
(OCFB (d) OFB 


图 10.11 DES 的 4 种 工作 方式 


(1) 电子 密码 本 (Electronic Code Book,ECB)。ECB 是 最 普通 的 DES 加 密 方 式 , 将 明文 分 
成 64b 分 组 ,用 密 钥 分 别 进行 加 密 ( 如 图 10.11(a) 所 示 )。ECB 加 密 和 解密 关系 式 分 别 为 
c= Em), i=0,1,°… ,nO—1;m;= D(c), i=0,1,°… ,nO—1 
ECB 方式 适合 于 并 行 处 理 ,但 相同 的 明文 分 组 会 得 到 相同 的 密 文 ,车 被 成 组 替换 或 修 
改 难以 发 现 。 
(2) 密 文 分 组 链 (Cipher Block Chaining,CBC)。CBC 方式 下 每 个 明文 分 组 与 前 一 分 组 
密 文 按 位 异 或 后 再 进行 加 密 (如 图 10. 11(b) 所 示 ) 。 
第 一 个 分 组 的 加 密 需 要 一 个 初始 值 (Initialization Vector,IV) ,例如 用 一 个 随机 数 。 选 
择 的 随机 数 应 当 随 密 文告 知 接收 (解密 ) 方 。CBC 加 密 和 解密 关系 式 分 别 为 
ci 一 下 (四 cc)，i=0,1 2 一 1,c 一 IV 
m= DCc) 由 cr，i = 一 0,1,… 和 一 1,c 一 IV 
CBC 方式 克服 了 ECB 方式 的 缺点 ,使 相同 的 明文 分 组 加 密 后 得 到 不 同 的 密 文 。 但 由 
于 明文 分 组 加 密 与 前 一 组 密 文 有 关 , 因 此 加 密 和 解密 操作 均 无 法 并 行 处 理 ,而 且 一 个 密 文 分 
组 的 数据 传输 错误 会 传播 (影响 ) 到 下 一 分 组 的 解密 (思考 为 什么 ) 。 
(3) 密 文 反馈 (Cipher Feed Back,CFB)。CFB 方式 使 每 个 明文 分 组 与 前 一 分 组 密 文 的 
加 密 值 进行 按 位 异 或 来 作为 密 文 (如 图 10. 11(c) 所 示 )。 对 第 一 个 分 组 加 密 需 设 置 初始 值 
(1V)。CFB 加 密 和 解密 关系 式 分 别 为 
ci 一 下 (ci) 四 ma， 一 0, 1 一 1:c 一 IV 
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m= E(cn)@Be, i=0,1,%%n—1,c=1V 

CFB 加 密 与 前 一 分 组 密 文 相关 ,因此 无 法 进行 并 行 处 理 (但 解密 可 并 行 处 理 ) ,而 且 错 
误会 传播 到 下 一 组 。 更 大 的 问题 是 ,由 于 密 文 仅仅 是 明文 与 一 个 数值 的 异 或 结果 , 当 明 文 为 
易 推测 的 文本 型 数据 时 ,容易 遭 到 破解 (思考 如 何 破解 ) 。 

(4) 输出 反馈 (Output Feed Back,OFB)。OFB 方式 与 CFB 相似 ,唯一 不 同 的 是 OFB 
是 直接 取 自 前 一 分 组 DES 的 输出 。OFB 加 密 和 解密 关系 式 分 别 为 

c= Et(IV) Om, i=0,1, ,nO—1;m: Et'(ca) Des i=01%5n—1 

虽然 OFB 的 加 密 和 解密 操作 都 无 法 并 行 处 理 , 但 每 个 分 组 解密 操作 相互 独立 (与 前 一 
块 密 文 无 关 ) ,所 以 ,只 要 IV 传输 不 出 错 ,就 能 克服 CFB 密 文 错误 传播 的 缺点 。 

实际 上 ,CFB 和 OFB 拥有 更 一 般 化 的 模型 ,具有 可 变 长 分 组 加 密 的 能 力 ,实用 性 更 强 ， 
也 更 有 意义 。 以 CFB 为 例 : 设 64b 移 位 寄存 器 及 ,可 执行 逻辑 左 移 jb 的 操作 , 移 位 后 的 右 
侧 jb( 最 低 jb) 可 存 人 新 的 jb 数据 ; 再 设 64b 选择 寄存 器 S; ,用 于 选择 左 侧 jb 的 操作 ( 取 
最 高 jb 为 有 效 数据 ,丢弃 或 忽略 其 余部 分 )。 

如 图 10. 12 所 示 ,OFB 可 变 长 分 组 加 密 模 型 可 指定 加 密 jb 明文 分 组 ,产生 jb 密 文 分 
组 。 加 密 过 程 为 : 将 64b 的 Rj 寄存 器 进行 DES 加 密 后 ,结果 存 人 Si 寄存 器 ; 取 Si 的 最 高 
jb, 与 明文 jb 分 组 mi 异 或 , 即 得 到 jb 密 文 ci;; 将 前 一 R; 寄存 器 逻辑 左 移 jb 后 ,最 低 jb 存 
入 密 文 ci(OFB 方式 则 存 人 S; 的 最 高 jb) ,随后 进入 下 一 分 组 的 加 密 过 程 。 第 1 个 分 组 的 


加 密 需要 使 用 初始 向 量 IV。 
4 四 
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图 10.12 OFB 可 变 长 加 密 模型 
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加 密 和 解密 关系 式 分 别 为 ( 式 中 R; 表示 寄存 器 R 第 i 步 时 的 值 ,i 二 0,1,…,n 一 1) 
ci 一 SiLECR,)] 四 mr 
| = (Ri N+ en 
Ro=1IV 
mi = SLE(R;)] 中 c: 
上 = (Ri <<J) 十 cr 
Ro = IV 
考虑 当 j 二 8 时 ,OFB 即 实现 了 以 字 节 为 分 组 单元 进行 DES 加 密 的 功能 ,从 而 成 为 一 种 
流 式 加 密 的 方法 。 
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10.3.7 AES 算法 


高 级 加 密 标 准 (Advanced Encryption Standard,AES) 的 基础 是 2000 年 10 月 2 日 由 比 
利 时 学 者 Joan Daemen 和 Vincent Rijmen 提出 的 Rijndael 算法 ,2001 年 11 月 26 日 被 正式 
确定 为 新 一 代 的 美国 联邦 数据 加 密 标 准 。 

AES 可 采用 三 种 密 钥 长 度 : 128b、192b 和 256b。 理 论 上 ,AES 的 128b 密 钥 比 DES 的 
56b 密 钥 强 1000 多 倍 。 

AES 属于 对 称 密 钥 分 组 加 密 算法 ,每 个 分 组 块 为 128b。 数 据 分 组 加 密 的 轮 次 数 与 密 钥 
长 度 有 关 , 分 别 为 10、12 和 14 轮 ; 每 一 轮 都 需要 一 个 与 输入 分 组 具有 相同 长 度 的 扩展 密 钥 
( 子 密 钥 ); 算法 中 采用 一 个 密 钥 扩展 程序 ,把 输入 密 钥 扩展 成 更 长 的 比特 串 , 以 生成 各 轮 的 
加 密 和 解密 密 钥 。 

如 图 10. 13 所 示 ,以 128b 密 钥 为 例 ,AES 加 密 和 解密 运算 进行 10 轮 ,每 一 轮 有 相似 的 
迭代 流程 (其 中 9 轮 完 全 相同 ) ,运算 类 型 有 轮 密 钥 加 、 字 节 代 换 , 行 移 位 、 列 混淆 。 解 密 运 算 
逆向 使 用 子 密 钥 。 


明文 
128b 


图 10.13 AES 加 密 和 解密 流程 


AES 算 法 具有 快速 高 效 、 易 用 、 灵 活 的 特点 ,安全 保密 性 强 , 应 用 领域 很 广 , 是 DES 算 
法 的 替代 技术 之 一 。 


10.3.8 IDEA 


国际 数据 加 密 算法 (International Data Encryption Algorithm,IDEA ) 是 一 种 对 称 密 钥 
分 组 加 密 算法 ,基于 相 异 代数 群 上 的 混合 运算 理论 ,由 Xujia Lai 和 James Massey 于 1990 
年 发 布 ,后 又 发 布 了 改进 版 算法 以 抵御 差分 攻击 法 ,于 1992 年 定名 为 IDEA。 
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IDEA 使 用 长 度 为 128b 的 密 钥 ,数据 分 组 大 小 为 64b。 

IDEA 执行 步骤 如 表 10. 10 所 示 。 其 中 : 第 ; 轮 (一 0,1,…,7) 和 迭代 中 需要 的 6 个 子 密 
钥 记 为 Keit1 一 Keits; 天 一 人 5 为 最 后 4 个 子 密 钥 ; 采用 的 16b 数值 运算 有 十 为 模 2 加 
法 、X 为 模 (2" 十 1) 乘 法 、 田 为 按 位 异 或 。 


表 10.10 IDEA 执行 步骤 


明文 {Xi1, X:, Xs, X,} 64b 
轮 输 入 | X1; Xs,; X;; X4 


第 i 轮 | (D 太一 Xi XKens; (2) Ys =Xs+KRKertzs; (3) Y: 一 Xs 十 Ke+a; 共 8 轮 ， 
迭代 | (4) Y 一 Xi XKe+4i (5) Ys =Y1@OY:; (6) Y 一 YY (7) Y =Ys X Kots; | 每 轮 输出 
i=0, | (8) Ys =Ys+Y;; (9) Yo =Ys X Kors; (10) Yio 一 Y 十 Yo; (11) Yn=Y1@Y,; | 为 下 一 轮 


1 7 | (12) Yes 一 好 四 Y (13) Yis=Y;, BY; (14) Yu =Y, DYw 的 输入 
轮 输 出 | Xi 二 Yn; X= 二 Yi3; X33 二 Ys; Xi 一 Yu 

最 终 变换 | Xi 一 Xi X Kws; Xs 二 Xi 十 Kso; Xs 二 Xs 十 Ks1; X=X, X Ks 4X16b 
检 支 | (和 64b 


IDEA 加 密 过 程 为 : 输入 的 64b 分 组 被 分 成 4 个 16b 子 分 组 XX 、X,、X， 和 X4 ,成 为 算 
法 第 一 轮 的 输入 。 算 法 总 共 进 行 8 轮 。 在 每 一 轮 中 ,4 个 子 分 组 和 6 个 16b 子 密 钥 进行 14 
步 运 算 ; 在 每 轮 之 间 ,输出 的 第 2 和 第 3 个 子 分 组 交换 位 置 ; 最 后 ,在 输出 前 的 最 终 变换 中 ， 
4 个子 分 组 与 4 个 子 密 钥 再 进行 运算 。 

IDEA 算法 总 共 需 要 52 个 子 密 钥 (8 轮 中 的 每 一 轮 需要 6 个 ,最 后 4 个 用 于 输出 变换 )。 
子 密 钥 的 产生 方法 是 : 首先 ,将 128b 密 钥 K 分 成 8 个 16b 子 密 钥 天, 一 Ks ,作为 算法 的 第 一 批 
8 个 子 密 钥 ( 第 一 轮 的 6 个 ,第 二 轮 的 头 2 个); 然后 ,整个 密 钥 循环 左 移 25b 后 ,再 分 成 8 个 子 
密 钥 Ke 一 Kie ,4 个 用 于 第 二 轮 的 后 4 个 ,另外 4 个 用 在 第 三 轮 ; 依 此 类 推 ,直到 算法 结束 。 

IDEA 解密 过 程 与 加 密 完全 一 样 , 子 密 钥 的 生成 方法 也 相同 ,但 子 密 钥 的 使 用 顺序 和 方 
式 不 同 , 需 要 进行 数学 变换 ,成 为 解密 子 密 钥 ,并 几乎 逆序 使 用 。 

设 Z 为 16b 整数 , 则 称 Z-: 为 Z mod (25 十 1) 的 乘法 逆 元 ,全 0 用 28 代替, 若 以 运算 符 
加 表示 mod (2 十 1) 乘 法 , 则 有 

1 


Z@Z"' 一 lmod(2* 一 1) 或 2 一 元 mod(25 一 1) 


又 称 一 Z 为 Z mod 2 的 加 法 闭 元 (相当 于 取 负 ) , 若 以 运算 符 田 表 示 mod 2 加 法 ,有 2 
Z=0 mod 21 。 

记 第 r 轮 使 用 的 第 i 个 加 密 子 密 钥 为 k? ,解密 子 密 钥 为 df (i 二 1,…,6,r 二 1,…,9), 其 中 
第 九 轮 指 最 终 变 换 。 那 么 ,IDEA 解密 所 使 用 的 52 个 子 密 钥 对 应 变换 如 下 : 


1 


(dP? ,dP? sd? dP?) = (一 多 一 名 ), r=1,9 


1 


(dP dl? dp dP?) = (Mo ,一 名 "一 Mo No ), r=2,3,.",8 
(dP df?) = (kD ,Rr = 1,2,.°,8 
在 计算 解密 子 密 钥 时 , 求 加 法 逆 元 很 简单 ,只 需 用 2* 作 被 减 数 进行 减法 运算 ,或 取 反 加 
1。 求 乘法 道 元 的 运算 则 具有 一 定 的 复杂 性 。 可 采用 扩展 欧 几 里 德 算法 ,有 利于 计算 机 执 
行 。 设 求解 A : mod 2 ,算法 ExtendedEuclid(k, nn) 流 程 如 下 : 
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1 (X1, X2, Xx3) := (1, 0, n) 

Ft 

3 if (Y3= 0) then return failure //0 不 存在 乘法 逆 元 

4 if (Y3=1) then return Y2 //Y2 即 为 k 的 乘法 道 元 


50 := 3 divY3 
& {Tt; 72,73) 
7 (X1, X2, X3) : 
tn 13) 
9 goto 3 


//div 为 除法 取 商 


:= (X1—QxY1, X2—QxY2, Xx3— QxY3) 


(Pl 


> 0 


// 循 环 求解 
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11.1 非 对 称 密 钥 加 密 原 理 


非 对 称 密 钥 加 密 (Asymmetric Key Cryptography) 也 称 公 开 密 钥 加 密 
(Public Key Cryptography) 或 公 钥 加 密 、 双 密 钥 加 密 , 是 1976 年 由 Diffie 和 
Hellman 在 其 (密码 学 新 方向 ) 一 文中 提出 的 技术 。 公 钥 加 密 方法 使 用 一 对 
密 钥 来 加 密 和 解密 ,其 中 一 个 是 只 有 密 钥 拥有 者 自己 知道 的 保密 的 私 钥 
(private key) , 另 一 个 是 通信 过 程 中 由 对 方 使 用 的 公 钥 (public key)。 

公 钥 体制 的 优越 性 在 于 具有 两 个 相关 的 密 钥 , 且 其 中 的 公 钥 是 可 以 公开 
的 ,而 私 钥 绝 对 不 在 网 络 上 传输 ,因此 就 不 存在 密 钥 泄露 问题 。 

用 公 钥 加 密 的 数据 只 能 用 对 应 的 私 钥 解 密 , 而 用 私 钥 加 密 的 数据 只 能 用 
对 应 的 公 钥 解密 。 由 于 公 钥 加 密 技术 的 效率 通常 很 低 ,甚至 只 有 对 称 加 密 方 
法 的 千 分 之 一 ,因此 不 适合 对 大 量 的 数据 进行 加 密 , 一 般 用 来 加 密会 话 密 钥 
等 短小 数据 。 

利用 非 对 称 密 钥 加 密 技 术 , 可 以 实现 三 种 不 同安 全 效果 的 应 用 。 

(1) 公 钥 加 密 - 私 钥 解密 。 发 送 方 使 用 数据 通信 的 接收 方 提供 的 公 钥 来 
加 密 数 据 。 因 为 只 有 合法 的 接收 者 才 握 有 能 正确 解密 的 私 钥 , 所 以 这 种 方法 
可 以 用 来 安全 地 传输 保密 数据 。 但 是 ,假如 攻击 者 使 用 了 公 钥 (因为 公 钥 是 
容易 获得 的 ?给 接收 方 传送 虚假 的 加 密 数 据 ,接收 者 无 法 甄别 该 数据 的 来 源 
是 否 合法 (来 自发 送 方 ) , 即 发 送 者 的 身份 无 法 被 认定 ,发 送 方 也 因此 是 可 抵 
赖 的 。 

(2) 私 钥 加 密 - 公 钥 解 密 。 发 送 方 使 用 自己 拥有 的 私 钥 来 加 密 数 据 并 传 
送 ,接收 方 使 用 发 送 方 提 供 的 公 钥 来 解密 数据 。 由 于 只 有 发 送 方才 能 实施 加 
密 操作 ,因此 接收 方 可 以 据 此 确定 发 送 者 的 身份 。 然 而 ,攻击 者 同样 能 够 获 
得 公 钥 ,因而 也 能 解密 密 文 ,所 以 这 种 方法 不 宜 用 来 保护 秘密 数据 。 

(3) 公 钥 和 私 钥 综 合 方法 。 发 送 方 将 对 方 的 公 钥 和 自己 的 私 钥 结 合 起 来 
使 用 ,就 可 达到 数据 保密 通信 、 数 据 来 源 可 确认 (发 送 方 不 可 否认 ) 的 双重 目 
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的 。 设 Alice 需要 发 送 机 密 信 息 给 Bob, 且 Bob 需要 确认 信息 来 自 Alice, 且 Alice 不 能 抵 
赖 , 则 算法 流程 如 下 。 

Q@ Alice: 生成 密 钥 对 pub-K, 和 pri-K, ,将 公 钥 pub-K, 交 给 Bob。 

@ Bob: 生成 密 钥 对 pub-K。 和 pri-Ks ,将 公 钥 pub-Ks 交 给 Alice。 

@ Alice: 用 Bob 的 公 钥 pub-K。 加 密 明 文 M 得 到 密 文 D1 ,再 用 自己 的 私 钥 pri-K。 加 
密 Di 得 到 密 文 D; ,发 送 Ds 给 Bob。 

@ Bob: 先 用 Alice 的 公 钥 pub-K, 解密 D; 得 到 Di ,然后 用 自己 的 私 钥 pri-Ks 解密 D， 
得 到 明文 M。 

思考 : 该 “综合 方法 ”存在 什么 风险 ?发送 方 可 否 先 用 自己 的 私 钥 加 密 , 再 用 对 方 的 公 
钥 加 密 ? 

考察 古典 加 密 方法 Hill 密码 的 加 密 和 解密 运算 。 设 明文 矩阵 为 已 , 密 文 矩阵 为 C, 加 密 
密 钥 矩阵 为 天 , 则 根据 Hill 算法 : C=KXP 和 P=K 'XC。 

如 果 将 Hill 密 钥 矩 阵 氏 和 天 一 分 别 看 做 加 密 密 钥 和 解密 密 钥 ,两 个 密 钥 是 相关 的 (和 拢 
阵 互 逆 关 系 ), 则 可 以 将 其 中 一 个 密 钥 作为 公 钥 , 另 一 个 作为 私 钥 。 虽 然 矩阵 求 逆 很 容易 被 
破解 ,这 种 所 谓 的 公 钥 加 密 方法 没有 实用 意义 ,但 这 个 例子 至 少 说 明了 公 钥 体制 是 完全 可 
行 的 。 


11.2 非 对 称 密 钥 加 密 算法 


11.2.1 RSA 算法 


RSA 算法 以 其 三 位 发 明 者 Ron Rivest、Adi Shamir 和 Leonard Adleman 名 字 的 首 字母 
来 命名 ,是 最 早 也 是 最 著名 的 公开 密 钥 加 密 算 法 ,应 用 相当 广泛 。RSA 算法 的 数学 基础 是 
数论 中 的 欧 拉 (Euler) 定 理 ,并 建立 在 大 整数 分 解 质 数 ( 素 数 ) 因 子 的 困难 性 之 上 。 

RSA 密 钥 生成 过 程 如 下 。 

(1) 选择 不 同 的 质数 p 和 g, 计 算 n=pXg 和 gg(m)=(p 一 1)X(g 一 1)。 

(2) 选择 整数 e, 与 p(z) 互 质 , 且 1<e<p(z) 。 

(3) 计算 4& ,使 VCXe=1 mod g(n)。 

(4) 抛弃 户 和 9 ,得 : 公 钥 为 Kpw 王 {ewn), 私 钥 为 Kyi 二 {d,n})。 

其 中 ,e 与 9g(n) 互 质 意味 着 两 个 数 的 最 大 公 因 数 (Greatest Common Divisor,GCD) 为 
1。 可 以 运用 轧 转 相 除 法 ,又 名 欧 几 里 德 算法 (Euclidean) ,在 尝试 e 是 否 与 9g(n) 互 质 时 ,不 
需要 先 把 两 个 数 作 质 因数 分 解 , 即 可 求 出 最 大 公 因 数 。 求 GCD 的 递归 算法 如 下 (不 失 一 般 
性 , 设 p 记 gq): 

int gcd(p, q) 

{ 

if ( (pmodq) <>0) 
return gcd( q, (p mod q) ); 


else 


return q; 
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计算 d 实际 上 是 求 e 的 mod p(z) 乘 法 逆 元 ,可 使 用 IDEA 中 用 到 的 扩展 欧 几 里 德 
算法 。 

使 用 公 钥 Km 一 (ez 的 加 密 过 程 如 下 : 对 于 明文 M( 若 M<n, 将 M 作为 一 个 大 整数 ; 
若 Mn, 可 分 段 加 密 ): 


C= M modn 
使 用 私 钥 Kos 二 1d,n}) 的 解密 过 程 如 下 : 
M= Cmodn 


解密 与 加 密 为 互 逆 的 运算 。 虽 然 非 授 权 窃 听 者 可 以 得 到 。 和 ,但 难以 分 解 大 数 n 以 
获取 至 关 重 要 的 p 和 9g ,从 而 无 法 获得 d, 因 此 无 法 解密 。 

例如 ,选择 质数 p 二 101 和 4 一 113, 有 

n=pXg= 114l13; 9g(n) = ( 力 一 1) X(q 一 1) 一 100X112 三 11200 

用 欧 几 里 德 驾 转 相 除法 可 求 得 e, 假设 求 得 e=3533 ,得 到 公 钥 Ku 一 {3533，11 413)。 
再 用 扩展 欧 几 里 德 算法 求 4, 可 得 d=6597(mod 11 200) ,得 到 私 钥 Ku 一 (6597，11 413)} 。 

如 果 用 公 钥 加 密 并 发 送 明文 9726 ,加 密 运算 为 

9726353mod 11 413 = 5761 

可 在 网 络 上 发 送 密 文 5761。 当 接收 方 收 到 密 文 5761 时 ,用 拥有 的 私 钥 进行 解密 即 成 

功 获得 明文 。 解 密 运 算 为 


5761s597 mod 11 413 一 9726 

例子 中 的 和 q 选择 很 小 ,是 为 了 便于 示范 的 需要 。 为 达到 一 定 的 安全 保密 等 级 ,实际 
应 用 中 应 选择 100 位 左右 的 十 进 制 质数 ,n 的 长 度 至 少 要 达到 512b。 为 了 抵抗 整数 分 解 算 
法 ,对 pp 和 gq 另 有 如 下 要 求 。 

(1) 1p 一 gq| 很 大 ,通常 p 和 g 的 长 度 相 同 。 

(2) p 一 1 和 g 一 1 分 别 含有 大 素 因 子 记 和 gq。 

(3) pi 一 1 和 gi 一 1 分 别 含有 大 素 因 子 如 和 g,。 

(4)p 十 1 和 g 十 1 分 别 含有 大 素 因 子 ps 和 qs 。 


11.2.2 ”ElGamal 算法 


ElGamal 算法 是 一 种 公开 密 钥 加 密 技术 ,其 安全 性 原理 依赖 于 计算 有 限 域 上 离散 对 数 
这 一 难题 。ElGamal 密 钥 对 的 产生 办 法 如 下 。 
首先 选择 一 个 素数 p 和 两 个 随机 数 g 和 zxz(g,zx 二 p) ,计算 : 
y=g modp 
则 公 钥 为 {y,g,p), 私 钥 为 x-。 其 中 g 和 p 可 由 一 组 用 户 共享 。 
ElGamal 进行 公 钥 加 密 操 作 时 , 设 明文 为 M, 需 选择 一 个 随机 数 k, 使 与 (p 一 1) 互 质 
(采用 欧 几 里 德 轰 转 相 除 法 ) ,并 计算 
c 一 入 mod 旋 
cs=yMmodp 
所 得 (ci ,co) 即 为 密 文 ,是 明文 的 两 倍 长 度 。 解 密 时 计算 


M 一 mod p 
a 
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可 采用 扩展 欧 几 里 德 算法 , 先 求 e 的 mod p 乘法 道 元 ,再 与 5 相 乘 ,以 降低 计算 难度 。 

在 运用 ElGamal 时 ,质数 p 必须 足够 大 , 且 p 一 1 应 至 少 包含 一 个 大 质数 因子 ,并 保证 
8 对 于 pp 一 1 的 大 素数 因子 不 可 约 。ElGamal 的 一 个 不 足 之 处 是 其 密 文 长 度 为 明文 的 两 倍 ， 
增加 了 存储 空间 和 传输 带宽 的 占用 。 

DSS(Digital Signature Standard) 技 术 中 采用 的 DSA (Digital Signature Algorithm ) 算 
法 就 是 经 ElGamal 算法 演变 而 来 。 


TZ23.. ECC 


椭圆 曲线 加 密 算法 (Ellipse Curve Cryptography, ECC) 是 基于 椭圆 曲线 理论 的 公 和 钥 加 
密 技术 。 在 数学 上 ,对 椭圆 曲线 的 性 质 和 功能 的 研究 已 逾 150 年 ,但 是 在 加 密 技术 上 的 应 用 
是 在 1985 年 由 Neal Koblitz 和 Victor Miller 首次 提出 。 与 其 他 建立 在 大 质数 因子 分 解困 
难 性 基础 上 的 加 密 方法 不 同 ,ECC 利用 椭圆 曲线 方程 式 的 数学 性 质 产生 密 钥 , 正 向 计算 比 
较 容 易 , 反 过 来 却 非常 困难 。 

与 RSA 方法 相 比 , ECC 可 以 使 用 164b 密 钥 产 生 一 个 安全 级 ,相当 于 RSA 方法 的 
1024b 密 钥 提供 的 保密 强度 ,而 且 计算 量 较 小 ,处 理 速度 更 快 ,存储 空间 和 传输 带宽 占用 较 
少 , 具 有 较 大 的 技术 优势 。 

1， 射影 平面 

定义 平行 线 相交 于 无 穷 远 点 P, ,这 样 ,平面 上 所 有 直线 都 统一 为 有 唯一 的 交点 。P。 
具有 以 下 性 质 。 

(1) 一 条 直线 只 有 一 个 无 穷 远 点 ,一 对 平行 线 有 公共 的 无 穷 远 点 。 

(2) 任何 两 条 不 平行 的 直线 有 不 同 的 无 穷 远 点 (否则 会 造成 两 个 交点 ) 。 

(3) 平面 上 全 体 无 穷 远 点 构成 一 条 无 穷 远 直线 。 

平面 上 全 体 无 穷 远 点 与 全 体 平常 点 构成 射影 平面 。 


对 普通 平面 上 点 (x,y), 令 z 一 苍 ,y 一 次,Z 才 0, 则 投影 为 射影 平面 上 的 点 (X:Y: 2)。 


如 点 (1,3) 可 投影 为 (Z:3Z:Z), 即 可 为 (1:3:1)、(2.3:6.9:2.3) 等 。 

对 普通 平面 上 的 直线 at 十 by 十 c= 二 0, 同 样 变换 ,得 到 对 应 于 射影 平面 上 的 直线 为 aX 十 
bY+cZ=0。 

对 平行 线 aX 十 bY 十 caZ==0 和 aX 十 bY 十 csZ==0, 易 解 得 Z==0, 说 明 无 穷 远 点 Ps 的 坐 
标 为 (X:Y:0)。 

2. 椭圆 曲线 

一 条 椭圆 曲线 是 在 射影 平面 上 满足 威 尔 斯 特 拉 斯 方程 (Weierstrass) 的 所 有 点 的 集合 : 

YZ+aXYZ+aYZ’ = Xa XZ+a XZ’ 十 asZa IL, 1 

椭圆 曲线 方程 是 一 个 齐 次 方程 ,曲线 上 的 每 个 点 都 必须 是 非 奇 异 的 (光滑 的 ), 即 偏 导数 
Fx(X,Y,Z)、Fy(X,Y,2Z) 和 Fz(X,Y,2Z) 不 能 同时 为 0。 

椭圆 曲线 的 形状 并 非 椭 圆 ,例如 ,方程 站 Z==X 十 XZ 十 Z 的 曲线 如 图 11. 1(a) 所 示 
(转换 为 六 = 二 x 十 x 十 1) ,方程 到 ZX 一 XZ2 的 曲线 如 图 11. 1(b) 所 示 ( 转 换 为 六 二 x 一 
Zz) ,显然 两 个 方程 都 满足 式 (11. 1) 的 形式 。 
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(a) 72Z=X3+HXZ2+Z3 (b) Y22=X3—XZ? 


11.1 椭圆 曲线 示例 


但 并 非 所 有 形 如 式 (11. 1) 的 方程 都 是 椭圆 曲线 方程 ,例如 ,图 11. 2 所 示 的 方程 为 
YZ2=R 人 Y= 


| 
(a) 72Z=XaHX2 (b) 72Z=X3 


图 11.2 非 椭圆 曲线 示例 


当 Z=0, 由 式 (11.1) 知 X=0, 则 椭圆 曲线 上 有 一 个 无 穷 远 点 O- ,为 (0:Y:0)。 无 穷 远 
点 和 普通 平面 上 的 平常 点 (曲线 ) 一 起 , 即 组 成 射影 平面 上 的 椭圆 曲线 。 椭 圆 曲 线 方程 对 应 
的 普通 平面 方程 为 
y+azxytay = x ar artae Il 2 


对 式 (11.2) 曲 线 的 平常 点 (x,y) 求 导 ,计算 切线 的 斜率 上 ,有 


F(x,y) = ay— 37: —2a7r— a 


F(x,y) 一 2y 十 az 十 as 


F(z,y) 3z2 十 2az 十 ai 一 ay 


F(x) 2y 十 az 十 as OU 


k= f(z) 


3. 椭圆 曲线 加 法 

将 阿 贝尔 (Abel) 加 法 群 (又 称 交换 群 ) 的 概念 引入 椭圆 曲线 。 

任意 取 椭 圆 曲 线 上 两 点 P.Q( 若 P、Q 两 点 重合 , 则 作 了 点 的 切线 ) , 作 直 线 交 于 椭圆 曲 
线 的 另 一 点 R', 过 R' 作 y 轴 的 平行 线 交 于 尺 ,定义 P 十 Q 二 R。 这样, 加 法 的 和 也 在 椭圆 曲 
线 上 ,并 同样 具备 加 法 的 交换 律 .结合 

例如 ,如 图 11. 1(Cb) 所 示 的 椭圆 曲线 方程 为 好 2 一 X 一 XZ? ,普通 方程 为 y* 一 x 一 zx， 
图 11. 3 分 别 示意 了 P、Q 重合 与 不 重合 两 种 情况 。 
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-2 2 
(a) PO 重合 (b) PO 不 重合 
图 11.3 椭圆 曲线 加 法 示意 


如 图 11. 4(a) 所 示 ,椭圆 曲线 无 穷 远 点 0 与 椭圆 曲线 上 一 点 了 的 连 线 交 于 另 一 点 PP'， 
过 已 作 y 轴 的 平行 线 交 于 了 ,根据 加 法 定义 ,有 O- 十 P= 已 。 可 见 ,无 穷 远 点 0. 与 普通 加 
法 中 零 相 当 , 因 此 把 O- 称 为 零 元 。 同 时 易 知 P 十 P' = 二 =O, , 则 P' 称 为 P 的 负 元 , 记 作 一 P。 
如 图 11.4(b) 所 示 ,还 可 推出 : 如 果 椭 圆 曲 线 上 的 3 个 点 A、B、C 处 于 同一 直线 上 ,那么 其 和 
等 于 零 元 , 即 A 十 B 十 C=O., 。 


O-( 零 元 ) 
4 


各 
(a) 零 元 


图 11.4 椭圆 曲线 零 元 与 负 元 


车 有 上 个 相同 的 点 P 相 加 , 记 作 RP。 如 图 11. 5 所 示 , 有 
P+P+P=2P+P=3P 
在 式 (11.2) 曲 线 上 ,车 已 知 点 P、Q 的 坐标 分 别 为 (zi,ym) (zy ), 令 有 R=P+Q, 设 : 
一 R 的 坐标 为 (zs ,ys ) ,R 的 坐标 为 (zx ,yt) 。 
因为 P.Q、 一 R 三 点 共 线 ,所 以 设 共 线 方程 为 y 一 Az 十 0 其中: 
(1) 若 P 关 QCP、Q 两 点 不 重合 ) , 则 直线 斜率 为 
k= Ys 


A 
(2) 若 P 二 Q(P、Q 两 点 重合 ), 则 直线 为 椭圆 曲线 的 切线 ,因此 由 式 (11.3) 可 知 
3zf + 2aszi 十 as — aiyn 

2y 十 azl 十 as 


k 
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因此 ,P、Q、 一 R 三 点 的 坐标 值 就 是 式 (11. 2) 和 共 线 方程 组 成 的 方程 组 的 解 。 将 共 线 方 


程 代入 式 (11. 2) 后 得 
(Ar 十 02 十 azCRr 十 0) 十 as(CRr 十 0) 
一 23 十 azz2 十 ai 十 as 
将 其 化 为 一 般 方 程 ,根据 三 次 方程 根 与 系数 关系 : 当 
三 次 项 系数 为 1 时 ,一 zzzxs 等 于 常数 项 , rzs 十 
Zazs 十 zszl 等 于 一 次 项 系数 ,一 (zi 十 zz 十 za) 等 于 
二 次 项 系数 ,有 
(zi 十 Zs 十 Tz3) = a 一 hai 一 民 


则 


T= T=R+kal ma mz — x 
又 由 于 一 关 一 盖 , 则 
TX1— Xs 
ys = nn k(x — Zs) 


将 z=z4 代入 式 (11.2) ,并 化 为 一 般 方程 ,得 


2 


- -一 
=2 =15 .3 


图 11.5 椭圆 曲线 同 点 加 法 示意 


二 (amta)y— (rit+azit+anta)=0 
根据 二 次 方程 根 与 系数 的 关系 ,有 一 (az 十 as ) 一 % 十 y% ，, 则 


三 一 y%m 一 (qz 十 as) 


4. 有 限 域 椭圆 曲线 


由 于 信息 加 密 是 在 有 限 域 上 进行 的 ,最 大 值 、 最 小 值 由 信息 长 度 决定 (并 非 无 穷 大 ) ,而 
且 是 离散 的 整数 ,所 以 必须 对 实数 域 上 的 椭圆 曲线 进行 改进 。 另 外 ,椭圆 曲线 的 选择 很 重 


要 ,因为 并 非 所 有 椭圆 曲线 都 适合 加 密 。 
给 出 有 限 域 Fp: 


(1) Fp 中 有 p(p 为 质数 ) 个 元 素 0,1,2,…,p 一 2,p 一 1。 


(2) Fp 的 加 法 是 a 十 4 三 c(mod p)。 

(3) Fp 的 乘法 是 a Xb 二 c(mod p)。 

(4) Fp 的 除法 是 a 二 b 三 c(mod p)。 

(5) Fp 的 单位 元 是 1, 零 元 是 0。 

(6) Fp 域内 运算 满足 交换 律 .结合 律 .分 配 律 。 


以 椭圆 曲线 二 x 十 az 十 6b 为 例 ,将 其 定义 在 Fp 上 , 即 满足 下 式 的 所 有 点 (z,y) 再 加 上 
无 穷 远 点 O- 。 无 穷 远 点 0- 是 零 元 ,0 十 0 =O- ,O- 十 P 二 P。P(x,y) 的 负 元 是 一 P= 


P'(z, 一 y), 有 P 十 (一 P)=O.。 


yy =z ar+b (mod p) 
选择 质数 p, 应 有 xz,yE[0,p 一 1]。 将 这 条 椭圆 曲 线 记 为 Ep(a,5b)。 选 择 两 个 满足 下 


列 约 束 条 件 的 小 于 p 的 非 负 整数 a 6: 


da 二 27B? 关 0 (mod p) 
当 p 二 23,4a 二 b 二 1 时 ,椭圆 曲线 Ezs(1,1) 如 图 11.6 所 示 。 
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x 无 穷 远 点 O- 


全 和 2 条 4 5678 910111213141516171819202]12223 
Ex(1.1) 


图 11.6 有 限 域 椭圆 曲线 示例 


如 果 已 知 两 点 P(3,10)Q(9.7), 则 一 P= (3, 一 10), 即 (3,13) ,= 于 思 一 一 却 , 因 为 


2X12 二 1(mod 23) ,所 以 2 的 乘法 道 元 为 12, 所 以 上 一 1X12(mod 23) 王 11 ,得 
Z 一 112 一 3 一 9(mod 23) = 109(mod 23) = 17 
y= 11x(3—(—6))—10(mod 23) = 89(mod 23) = 20 


2 
因此 P 二 Q 的 坐标 为 (17,20) 。 另 外 ,一 也 Tmod 23) = ] (mod 23) 一 6, 得 


一 6: 一 3 一 3(mod 23) = 30(mod 23) 一 7 
y= 6X(3—7)— 10(mod 23) =— 34(mod 23) = 12 
因此 2P 的 坐标 为 (7,12)。 

如 果 椭 圆 曲 线 上 一 点 P, 存 在 最 小 的 正 整数 .使 得 数 乘 zP=O- (显然 (n 一 1)P== 一 P)， 
则 将 nn 称 为 P 的 阶 ,车 nn 不 存在 , 则 P 是 无 限 阶 的 。 事实 上 ,在 有 限 域 上 定义 的 椭圆 曲线 上 
所 有 的 点 的 阶 n 都 是 存在 的 。 

5. ECC 加 密 方法 

考虑 KK 二 kG, 其 中 KK.G 为 椭圆 曲线 Ep(a,5) 上 的 点 ,nn 为 G 的 阶 (nG 二 0 ),k 为 小 于 
n 的 整数 。 

不 难 发 现 , 给 定 &A 和 G ,根据 加 法 法 则 ,计算 KK 很 容易 ; 但 反 过 来 ,给 定 K 和 G., 求 & 就 
非常 困难 。 这 就 是 椭圆 曲线 加 密 算法 的 数学 依据 。 

点 G 称 为 基点 (base point),k(k 二 n) 为 私 钥 ,K 为 公 钥 。 

一 个 利用 椭圆 曲线 算法 进行 保密 通信 ( 公 钥 加 密 - 私 钥 解密 ) 的 典型 过 程 可 描述 为 : 

(1) Alice 选 定 一 条 椭圆 曲线 Ep(a.5) ,并 取 椭 圆 曲 线 上 一 点 作为 基点 G。 

(2) Alice 选择 一 个 私有 密 钥 &, 并 生成 公开 密 钥 K 二 kG。 
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(3) Alice 将 Ep(a,b) 和 点 KK、G 传 给 Bob。 

(4) Bob 收 到 信息 后 ,将 待 传输 的 明文 编码 到 Ep(a,5) 上 的 一 点 M( 编 码 方法 略 ) ,并 产 
生 一 个 随机 整数 ~(r<z) 。 

(5) Bob 计算 点 C1 一 M+rK 和 Cs 二 rG。 

(6) Bob 将 Ci、Cs 传 给 Alice。 

(7) Alice 收 到 信息 后 ,计算 C 一 kC; ,结果 就 应 该 是 点 M, 因 为 

Ci—kCs = M+rK kG0G)= M+r(K—kG)=M 

在 这 个 加 密 通 信 过 程 中 ,假定 有 一 个 窃 密 者 Henry, 能 够 获取 到 Ep(a,b)、K、G、Ci、C:， 
然而 通过 KG 求 &, 或 通过 CG 求 r 都 是 困难 的 ,因此 ,Henry 无 法 解密 Alice 和 Bob 间 传 
送 的 信息 。 

通常 将 Fp 上 的 一 条 椭圆 曲线 描述 为 二 (p,a,b,G,n,h)。 其 中 : p、a、b 用 来 确定 一 
条 椭圆 曲线 ,G 为 基点 ,n 为 点 G 的 阶 ,h 是 椭圆 曲线 上 所 有 点 的 个 数 m 与 n 相 除 的 商 的 整 
数 部 分 。 

这 6 个 参量 取 值 的 选择 ,直接 影响 了 加 密 的 安全 性 。 参 量 值 一 般 要 求 满足 以 下 几 个 条 
件 : p 越 大 安全 性 越 好 ,但 会 导致 计算 速度 变 慢 ,200b 左右 可 满足 一 般 安全 要 求 ; n 应 为 质 
数 ; h 过 4; pnXh; pt#¥1(mod n) ,1<t<20; 4a2 十 27 姑 天 0(mod 户 ) 。 
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12.1 单 向 函数 加 密 原理 


单 向 函数 (One-way Function) 又 称 为 Hash 函数 、 哈 希 函 数 、 散 列 函数 ， 
可 实施 特殊 的 数据 加 密 。 

Hash 函数 可 把 任意 长 度 的 输入 变换 成 固定 长 度 的 输出 , 即 原 输 入 的 Hash 
值 ,相当 于 一 种 压缩 映射 ,因为 Hash 值 的 空间 通常 远 小 于 输入 值 的 空间 。 

考察 背包 问题 (knapsack problem) : 有 一 个 背包 以 及 7 个 物品 ,物品 直径 
与 背包 相同 ,高 度 分 别 为 ic…av。 若 已 知 各 用 mi 个 正好 装 满 背包 , 则 有 
ami 一 六 2 就 是 背包 的 高 度 ; 但 是 ,车 已 知 高 度 5, 问 如 何 各 选 出 zx; 个 物品 
正好 装 满 背包 , 即 求 > yaizr; = 5 的 解 ,显然 是 极其 困难 的 。 

设想 把 背包 问题 中 的 mooma…m,( 设 mx; E10,1)) 作 为 明文 ,aras…a, 作 
为 密 钥 ,很 容易 计算 出 密 文 5; 但 是 ,即使 已 知 密 钥 ,也 难以 从 5 反 推出 明文 。 
Hash 算法 即 采 用 这 一 原理 。 

由 于 Hash 值 能 够 在 统计 上 唯一 地 表征 输入 值 ,因此 被 称 为 消息 摘要 
(Message Digest) , 即 把 消息 进行 数学 意义 上 的 内 容 摘要 ,但 从 摘要 中 无 法 得 
到 比 摘要 本 身 更 多 的 关于 原 有 消息 的 信息 。Hash 算法 需要 满足 以 下 关键 
特性 。 

(1) 单 向 性 (one-way)。 从 输入 值 能 够 简单 .迅速 地 得 到 Hash 值 ,而 反 
过 来 在 计算 上 不 可 行 。 

(2) 抗 冲突 性 (Collision Resistant) 。 给 定 M, 计 算 上 无 法 找到 M' ,满足 
H(MD 二 HCM'), 即 弱 抗 冲突 性 ; 计算 上 也 难以 寻找 一 对 任意 的 M 和 M' ,使 
满足 互 OM) = 五 CM' ) , 即 强 抗 冲突 性 。 

(3) 分 布 均匀 性 。 存 在 映射 分 布 均匀 性 和 差分 分 布 均匀 性 。Hash 值 
中 ,0 和 1 的 数量 应 该 大 致 相等 ; 输入 中 每 一 个 比特 的 变化 , Hash 值 中 应 有 
一 半 以 上 的 比特 改变 ,这 被 称 为 雪崩 效 应 (avalanche effect); 要 实现 使 Hash 
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值 中 出 现 1 比特 的 变化 , 则 输入 中 至 少 有 一 半 以 上 的 比特 必须 发 生变 化 。 分 布 均匀 性 本 质 
上 是 必须 使 输入 中 每 一 个 比特 的 信息 ,尽量 均匀 地 反映 到 输出 的 每 一 个 比特 上 去 ; 输出 中 
的 每 一 个 比特 ,都 是 输入 中 尽 可 能 多 比特 的 信息 一 起 作用 的 结果 。 


12.2 单 向 函数 算法 


12;2;1 MD5 算法 


消息 摘要 (Message Digest, MD) 是 一 种 单 向 函数 加 密 算 法 ,分 为 MD2、MD4 和 MD5， 
其 中 MD5 算法 最 为 常用 。 

MDSs 以 512b(64B) 分 组 为 单位 来 处 理 输入 信息 。 首 先 对 信息 进行 填充 ,在 信息 的 尾部 
填充 一 个 1 和 连续 的 0, 直 到 满足 比特 长 度 对 512 求 余 的 结果 等 于 448( 即 2X512 十 448) ,其 
后 附加 64b 原 信息 长 度 值 (以 B 为 单位 ) 。 

MD5 对 4 个 32b 的 链接 变量 (chaining variable) 分 别 设置 初始 值 为 : V, 二 0x01234567， 
V, 二 0x89abcdef,V. 二 0xfedcba98,Vs 二 0x76543210。 执 行 算法 流程 如 下 。 

(1) 令 a=V,,6=V ,c=V.,d=Va。 

(2) 将 输入 的 512b 分 组 划分 成 16 个 32b 子 分 组 mm ,j= 二 0,1,… ,15。 

(3) 进行 4 轮 运算 ,每 轮 由 16 步 组 成 ,每 步 为 K(A,B,C,D,m,s,4i) 函数 运算 (如 
图 12. 1 所 示 ),K 函数 表示 为 

A= B+((A+k(B,C,D)+m +1) > s) 

@ KE{F,G,P,Q),kE{f,g,p'q) ,> s 表示 循环 右 移 :位 ,s 是 常数 ( 见 图 12. 1 中 对 
应 数值 ) 。 

@ 分 别 用 于 四 轮 运算 的 4 个 非 线性 函数 如 下 (每 轮 一 个 , 均 为 按 位 逻辑 运算 : & 与 ， 
| 或 ,一 非 , 申 异 或 ) : 


Jrzy,z) = (ry) | ((~ 1)&z) 
gCzyyz) = (zz) | (y&- (~ 2)) 
p(x'y'2)=XIOyDz 
q(xz,y;2) = yD (zr | (~ 2)) 
@ 在 第 i 步 中 (i=1,2,…,64) ,以 i 为 弧度 值 ,可 计算 出 常数 
ti = int(2* X| sin(i) |) 
(4) 计算 ; V,=V, 十 a,Vo=Vi 十 b,V。=V 十 c,Va=Va 二 d。 
(5) 对 下 一 个 512b 分 组 , 回 到 (1) 继 续 运 算 。 
(6) 对 所 有 原 消息 分 组 运算 完毕 后 ,最 后 输出 V。、Vs、V。、Va 的 级 联 {V, ,Vb,V。,Va), 即 
为 MD5 值 。 
例如 ,第 二 轮 的 第 1 步 ( 总 第 17 步 ) 为 GCa,b,c,d,mays'az) ,表示 
Q& 一 0 十 ((ae 十 gCOcd) 十 7 十 )>>s) 


即 为 
a& 一 0 十 ((e 十 ((0&d) | (c& (一 ad)) 十 ma 十 27) > ss) 
也 即 
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aa 一 0 十 (Ce 十 (CO&d) | (c& (~ d)))+m +Oxf61e2562) >>5) 


第 一 轮 

F(a,b,c,d,m0 ,7,0xd76aa478) 
Fl(d,a,b,c,ml ,12,0xe8c7b756) 
Flc,d,a,b,m2 ,17,0x242070db) 
F(b,c,d,a,m3 ,22,0xclbdceee) 
F(a,b,c,d,m4 , 7,0x{57c0faf) 
Fl(d,a,b,c,m5 ,12,0x4787c62a) 
F(c,d,a,b,m6 ,17,0xa8304613) 
F(b,c,d,a,m?7 ,22,0xfd469501) 
Fla,b,c,d,m8 ,7,0x698098d8) 
F(d,a,b,c,m9 ,12,0x8b44f7af) 
Fl(c,d,a,b,ml0,17,0xffff5bb1) 
F(b,c,d,a,mll,22,0x895cd7be) 
F(a,b,c,d,ml2, 7,0x6b901122) 
Fl(d,a,b,c,ml3,12,0xf{d987193) 
Flc,d,a,b,ml4,17,0xa679438e) 
Fl(b,c,d,a,ml5,22,0x49b40821) 


第 二 轮 

G(avb,c,d,ml , 5,0xf61e2562) 
Gld,a,b.c.m6 , 9,0xc040b340) 
G(Cc,d,a'b,ml1,14.0x265e5a51) 
G(b,c,d,a,m0 ,20,0xe9b6c7aa) 
G(a,b,c,d,m5 , 5,0xd62f105d) 
Gl(d,a,b,c,m10, 9,0x02441453) 
G(c,d,a,b,ml5,14,0xd8ale681) 
G(b,c,d,a,m4 ,20,0xe7d3fbc8) 
Glasb,c,d,m9 ,5,0x2lelcde6) 
Gld,a,b,c,ml4, 9,0xc33707d6) 
G(c,d,a,b,m3 ,14,0x{4d50d87) 
G(b,c,d,a,m8 ,20,0x455al4ed) 
G(Cavb,c,d,m13，5,0xa9e3e905) 
G(Cd,ayb,c,m2 ，9,0xfcefa3f8) 
G(c,d,avb,m7 ,14.0x676f02d9) 
Gl(b,c,d,a,ml2,20,0x8d2a4c8a) 


第 三 轮 

Pla,b,c,d,m5 , 4,0xfffa3942) 
Pld,a,b,c,m8 ,11,0x8771f681) 
Plc,d,a,b, mll,.16,0x6d9d6122) 
PCb,c,d,avml4,23,0xfde5380c) 
Pl(a,b,c,d,ml ,4,0xa4beea44) 
Pld,a,b,c,m4 ,11,0x4bdecfa9) 
PCc,d,a,b,m7 ,16,0x{6bb4b60) 
PCb,c,d,a, ml0,23,0xbebfbc70) 
Pl(a,b,c,d,ml3, 4,0x289b7ec6) 
Pld,a,b,c, m0 ,11,0xeaal27fa) 
PCc,d,a,b,m3 ,16,0xd4ef3085) 
Plb,c,d,a, m6 ,23,0x04881d05) 
Pla,b,c,d,m9 , 4,0xd9d4d039) 
Pl(d,a,b,c,ml2,11,.0xe6db99e5) 
Ple,d,a,b,ml5,.16.0xlfa27cf8) 
Plb,c,d,a,m2 ,23,0xc4ac5665) 


第 四 轮 

Q(Ca,b,c,d,m0 ， 6,0xf4292244) 
QCd,a,b,c,m7 ,10,0x432aff97) 
Q(c,d,a,b,ml4,15,0xab9423a7) 
Q(b,c.d,a,m5 ,21,0xfc93a039) 
Q(a,b,c,d,ml2, 6,0x655b59c3) 
Q(d,a,b,c,m3 ,10,0x8f0ccc92) 

Qc,d,a.b,m10,15,0xffeff47d) 

Q(b,c,d,a,ml ,21,0x85845dd1) 
Q(a,b,c.d,m8 ,6.0x6fa87e4f) 

Q(d,a,b,c,m15,10,0xfe2ce6e0) 
Q(Cc,d,a'b,m6 .15,0xa3014314) 
Q(b,c,d,a,m13,21,0x4e0811al) 
QCa,b,c,d,.m4 , 6,0x{7537e82) 

Q(Cd,a,b,c,mll,10,0xbd3af235) 
Q(c,d,a'b,m2 .15,0x2ad7d2bb) 
Q(b,c,d,a'm9 .21,0xeb86d391) 


图 12.1 


MD5 四 轮 函数 运算 表 


MD5 加 密 字符 串 的 实例 如 下 : 


md5 ("") = d4ld8cd98f00b204e9800998ecf8427e 

md5 ("a") = Occ175b9c0f1lb6a831c399e269772661 

md5 ("abc") = 900150983cd24fb0d6963f7d28e17f72 

md5 ("message digest") = f96b697d7cb7938d525a2f31aaf161d0 
md5 ("abc.…z") = c3fcd3d76192e4007dfb496cca67e13b 


MD5 加 密 方法 常用 于 信息 系统 用 户口 令 的 存储 ,防止 非法 窃取 。 但 这 种 安全 机 制 并 非 
万 无 一 失 ,攻击 者 不 必 费 心 解密 Hash 值 , 可 采用 字典 法 (明文 串 和 Hash 值 对 应 表 )、 重 放 法 
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等 实施 破解 。 
12:2.2 :SHA 


安全 散 列 算法 (Secure Hash Algorithm,SHA) 是 单 向 函数 加 密 算法 之 一 ,包括 SHA-1、 
SHA-224、SHA-256 .SHA-384 和 SHA-512,1995 年 发 布 为 美国 联邦 标准 。 后 四 者 并 称 为 
SHA-2。SHA-1 在 SSL、SSH、S/MIME 和 IPSec 等 许多 安全 协议 中 广 为 使 用 ,被 视 为 
MD5 的 继任 者 。 但 与 MD5 的 命运 相似 ,SHA-1 的 安全 性 如 今 已 被 质疑 。 虽 然 相 比 之 下 
SHA-2 更 为 安全 ,但 其 算法 与 SHA-1 基本 一 致 。 

SHA-1 以 512b 分 组 (32b 字 长 ) 为 处 理 单位 ,输出 160b 值 ; SHA-zyx 表示 输出 zyzb 
值 ,前 两 者 分 组 大 小 与 SHA-1 相同 为 512b(32b 字 长 ) ,后 两 者 为 1024b(64b 字 长 ) 。 

SHA-1 算法 如 下 (所 有 变量 为 32b 字 长 ,计算 均 为 mod 22 ) 。 

对 原 消息 的 预 处 理 与 MD5 算法 相同 : 在 原 消息 的 尾部 填充 一 个 1 和 连续 的 0, 直 到 满 
足 比 特长 度 对 512 求 余 的 结果 等 于 448( 即 nX512 十 448), 其 后 附加 64b 原 消 息 长 度 值 ( 以 
B 为 单位 ) 。 

设置 中 间 变 量 初始 值 为 : h。: 二 0x67452301; 六 :二 0xefcdab89; h。 :一 0x98badcfe; 
hs :二 0x10325476; hs :一 0xc3d2elf0。 将 原 消 息 分 为 512b 长 度 的 分 组 (chunk); 依次 处 理 
每 个 分 组 ,直到 处 理 完全 部 分 组 。 

(1) 将 分 组 分 为 16 个 32b 字 w[i],i=0,1,*… ,15。 

(2) 将 w[ 门 ,i 二 0,1,…,15 扩展 成 80 个 32b 字 ( 二 过 循环 左 移 , 甸 异 或 ) ; 


forifrom 16 to 79 
wil := (w[i-3]Ou[i-8]®u[i-14]®w[i-16])<<1 


(3) 变量 赋值 : {a,b,c,d,e}= {ho ,hi,hz ,hs,h,})。 
(4) 主 处 理 程序 (循环 80 轮 次 ; & 与 ,| 或 ,一 非 ): 


for i from 0 to 79 

if 0 i119 then 

f:= (bgc) | ((~b)&d); k := 0x5a827999 
else if 20 友 工友 39 

f:= b 四 c 四 dj k := 0x6ed9ebal 
else 二 40 三 工 三 59 

f:= (bgc) | (bgd) | (c&d); k:= 0x8flbbcdc 
else if 60 和 过 并 委 79 

f:= bcDd; k := 0xca62c1d6 
temp := (a<<5) + f+ e+ 大 + w[i] 
07 b= d= tenp 


(5) 中 间 变 量 赋值 : {ho ,hi ,hz ,hs sh) 二 {ho 十 ashi 二 bshz 二 cshs 二 d ,hy 十 e}。 

(6) 车 为 最 后 分 组 , 则 第 (7) 步 ; 否则 返回 第 (1) 步 处 理 下 一 分 组 。 

(7) Hash 值 为 ho ,hh ,hs ,hs ,hs 顺序 链接 而 成 (160b) 。 

SHA-2 算法 加 强 了 各 个 字 的 位 元 混合 程度 ,使 安全 强度 得 到 有 效 提升 。 以 SHA-256 
为 例 ,算法 如 下 (所 有 变量 为 32b 字 长 ,计算 均 为 mod 2”)。 

初始 化 : ho :二 0x6a09e667; hi :二 0xbb67ae85; h, :一 0x3c6ef372; hs :一 0xa54ff53ay; 
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hs :一 0x510e527f; hs :一 0x9b05688c; hs :一 0xlf83d9ab; h: :=0x5beOcd19。 
常量 赋值 kL[0. .63] :一 


0x428a2f98 | 0x71374491 | Oxb5cOfbcf | 0xe9b5dba5 | 0x3956c25b | Ox59f111f1 | 0x923f82a4 | 0xablc5ed5 


Oxd807aa98 |0x12835b01 | 0x243185be| Ox550c7dc3 | 0x72be5d74 | 0x80deblfe | 0x9bdc06a7 | Oxc19bf174 


0xe49b69cl | Oxefbe4786 | 0x0fc19dc6 | Ox240calce | Ox2de92c6f | 0x4a7484aa | 0x5cb0a9dc | 0x76f988da 


Ox983e5152 | Oxa831c66d | Oxb00327c8 | 0xbf597fc7 | 0xc6e00bf3 | 0xd5a79147 | 0x06ca6351 | 0x14292967 


Ox27b70a85 | 0x2elb2138 | 0x4d2c6dfc | 0x53380d13 | 0x650a7354 | 0x766a0abb | Ox81c2c92e | 0x92722c85 


Oxa2bfe8al | 0xa8la664b | 0xc24b8b70 | Oxc76c51a3 | Oxd192e819 | 0xd6990624 | 0xf40e3585 | Ox106aa070 


Oxl9a4c116 | Oxle376c08 | 0x2748774c | 0x34b0bcb5 | 0x391c0cb3 | 0x4ed8aa4a | 0x5b9cca4f | Ox682e6ff3 


0x748f82ee | Ox78a5636f | 0x84c87814 | 0x8cc70208 | Ox90befffa | Oxa4506ceb | 0xbef9a3f7 | 0xc67178f2 


(1) 将 分 组 分 为 16 个 32b 字 w[i],i=0,1,… ,15。 
(2) 将 w[ 可 ,一 0,1,…,15 扩展 成 64 个 32b 字 (> 之 循环 右 移 ,> 之 之 逻辑 右 移 ,四 异 
或 ,十 加 ): 


for i from 16 to 63 
so := (w[i-15] >> 7)®(w[i-15] > 18)®®(w[i-15] >>> 3) 
:= (w[i-2] >>17) 中 (w[i-2] >> 19) 中 (w[i-2] >>> 10) 
人 二] 


(3) 变量 赋值 : {a,b,c,d,e,f,g sh}= {ho sh ,hz ,hs ,hshs,he,hy}).。 
(4) 主 处 理 程序 (循环 64 轮 次 ; & 与 ,| 或 ,一 非 ): 


for i from 0 to 63 
so := (ay>2) 中 (a>> 13) 中 (a>> 22) 
maj := (a&ghb) 中 (agc) 中 (bg c) 
tz:= so+ maj; si:= (ez>6) 中 (e> 11)M(e>> 25) 
(eg f) 四 ((~e) gg); ti:= h+ si+ ch+ k[i] + w[i] 
hb:= g;g:= fif:= e;e:= dt+ ti 
d:= c;c:= b;b:= a;a:= ti+ tz 


Q. 
Ea 
是 


(5) 中 间 变 量 赋值 ; {ho ,hi ,ja ,js ,js ,jsjhsyj)} 王 {j 十 a 语 十 bj 十 chs 十 dj 十 e， 
hs 二 fohe 二 gyhr 二 hh}。 

(6) 若 为 最 后 分 组 , 则 第 (7) 步 ; 否则 返回 第 (1) 步 处 理 下 一 分 组 。 

(7) Hash 值 为 ho ,hi hs ,jas ,hs,hs ,hs ,hz 顺序 链接 而 成 (256b) 。 

SHA-224 与 SHA-256 的 算法 基本 相同 ,除了 加 一 访 的 初始 值 不 同 .SHA-224 输出 时 
截 掉 hi 的 值 ( 因 此 为 224b)。SHA-512 和 SHA-256 的 结构 相同 ,但 ,SHA-512 处 理 64b 
字 ,执行 80 次 循环 ,循环 移 位 量 不 同 。SHA-384 和 SHA-512 的 不 同 点 为 : 如 一心 的 初始 
值 不 同 ,SHA-384 输出 时 截 掉 As 和 hi 的 值 。 


12.2.3 MAC 算法 


消息 认证 码 (Message Authentication Code,MAC) 是 用 于 校 验 ( 认 证 ) 通 信 或 存储 信息 
的 机 制 ,提供 鉴别 信息 是 否 被 自 改 的 功能 ,起 到 保障 信息 完整 性 的 作用 。MAC 集成 了 
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MD5 SHA 等 Hash 函数 算法 ,并 采用 私 钥 加 密 ,因此 ,在 RFC 2104 中 被 称 为 HMAC 
(Keyed-Hashing for Message Authentication), 如 HMAC MD5 .HMAC SHA1, 

设 : 互 代 表 所 采用 的 Hash 算法 ; K 为 密 钥 ; B 是 HH 算 法 所 处 理 的 分 组 大 小 (以 字 节 
数 为 单位 ); Ks 为 KK 后 添加 数值 0 达到 长 度 B; Op 为 0x5c 重复 B 次 ; Tp 为 0x36 重复 
BB 次 。 

又 设 : 四 为 按 位 异 或 运算 , | | 将 左右 两 个 数据 串 并 合 在 一 起 (右边 的 数据 拼接 在 左边 数 
据 的 尾部 )。 对 于 被 鉴别 的 数据 M, HMAC 算法 为 

H((Ks Oa) || HO((Ks © La) || MD)) 

可 使 用 HMAC 实现 通信 双方 的 身份 鉴别 。 例 如 执行 如 下 “挑战 /响应 ”认证 流程 。 

(1) 客户 机 向 服务 器 发 出 一 个 鉴别 请 求 。 

(2) 服务 器 接 到 请 求 后 ,生成 一 个 随机 数 ,发 送 给 客户 机 (挑战 ) 。 

(3) 客户 机 将 收 到 的 随机 数 和 存储 的 密 钥 进 行 HMAC_MD5 运算 ,将 结果 作为 鉴别 证 
据 发 送 给 服务 器 (响应 )。 

(4) 服务 器 也 使 用 该 随机 数 和 存储 在 服务 器 中 的 该 客户 机 的 密 钥 进行 HMAC_MD5 
运算 ,如 果 服 务 器 的 运算 结果 与 客户 机 传 回 的 响应 相同 , 则 认为 客户 机 是 一 个 合法 用 户 。 

HMAC 引入 了 密 钥 ,类 似 一 种 特殊 的 加 密 算法 ,其 安全 性 已 经 不 完全 依赖 于 所 使 用 的 
Hash 算法 。HMAC 与 私 钥 加 密 的 区 别 除了 单 向 性 还 有 一 次 性 , 即 认证 只 在 当时 有 效 ,而 私 
钥 加 密 被 破解 后 ,以 往 的 加 密 结果 就 被 解密 了 。 


12.3 数字 签名 原理 


利用 Hash 函数 可 以 为 原 消息 建立 消息 摘要 ,是 一 种 防止 消息 算 改 的 方法 。 一 旦 改变 
了 输入 消息 中 的 任何 数据 ,哪怕 只 有 一 位 ,输出 的 Hash 值 将 会 发 生 不 可 预测 的 改变 。 而 
且 ,不论 原 消息 长 度 有 多 长 ,其 Hash 值 为 定 长 。 这 种 机 制 就 好 比 为 原 消息 建立 了 一 个 独特 
的 印记 ,类 似 人 类 的 指纹 ,因此 ,消息 摘要 也 被 称 为 原 消 息 的 消息 指纹 (Message Finger- 
Print) 。 

通过 消息 指纹 技术 可 以 设计 数字 签名 (Digital Signature) 机 制 。 数 字 签 名 基本 原理 是 ， 
以 需要 保护 的 信息 作为 输入 消息 ,通过 单 向 函数 算法 ,获得 消息 摘要 ,并 把 原 消 息 和 消息 摘 
要 一 同 传输 ; 接收 方 采用 相同 的 方法 、 相 同 的 单 向 函数 进行 计算 ,并 比较 输出 的 结果 是 否 与 
接收 到 的 消息 摘要 完全 一 致 ,由 此 判别 信息 是 否 被 改变 (故意 算 改 或 由 传输 误 码 造 成 ) 。 

数字 时 间 戳 (Digital Time Stamp, DTS) 是 数字 签名 的 一 种 变化 ,增加 了 日 期 \ 时 间 信 
息 , 可 用 于 时 间 鹤 签署 业务 。 

数字 签名 技术 在 网 络 与 信息 系统 中 有 两 种 典型 的 应 用 方式 。 

(1) 信息 保护 。 附 加 在 原 消息 (文件 .数据 等 ) 上 的 数字 签名 起 到 保护 信息 完整 性 的 作 
用 .防止 信息 被 非法 自 改 。 例 如 ,一 个 软件 可 以 和 它 的 数字 签名 一 同 保存 ,任何 对 软件 的 修 
改 将 使 软件 不 可 执行 ,利用 这 个 机 制 可 以 防范 病毒 感染 ,也 能 保护 软件 的 知识 产权 。 

(2) 身份 验证 。 对 发 送 者 的 “身份 声明 ”进行 数字 签名 ,用 以 保护 发 送 方 身份 信息 ,达到 
身份 识别 和 防 抵赖 的 目的 。 

从 单 向 函数 运用 的 角度 看 ,数字 签名 方法 非常 巧妙 ,也 很 理想 ,然而 ,单纯 使 用 单 向 函数 
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的 方案 存在 很 大 的 安全 漏洞 : 中 间 人 攻击 (middleman attack) 方 法 可 使 用 相同 的 单 向 函数 ， 
在 自 改 或 假冒 的 消息 上 附加 伪造 的 数字 签名 ,那么 ,不 但 无 法 防范 消息 自 改 ,而 且 被 利用 为 
欺骗 手段 ,甚至 具有 更 强 的 蒙蔽 性 。 

当 Alice 和 Bob 进行 通信 时 ,改进 的 数字 签名 流程 如 下 。 

(1) 消息 发 送 方 (签名 方 )Alice: 

@ 创建 公 钥 / 私 钥 对 pubK,/priK, ,将 公 钥 pubK。 发 送 给 Bob; 

@ 对 原 消息 m 做 Hash, 得 到 消息 摘要 4; 

@ 用 私 钥 priK, 加 密 摘要 d ,得 到 数字 签名 D; 

@ 发 送 消息 和 签名 {m,D)})。 

(2) 消息 接收 方 (验证 方 )Bob: 

@ 分 离 从 Alice 收 到 的 消息 和 签名 {m,D); 

@ 用 Alice 的 公 钥 pubK, 解密 签名 D, 得 到 消息 摘要 d; 

@ 对 收 到 的 消息 m 做 Hash, 得 到 消息 摘要 d'; 

@ 比较 d 和 d', 车 相同 ,说 明 消 息 m 没有 被 算 改 。 

采用 了 单 向 函数 十 私 钥 加 密 ,攻击 者 由 于 无 法 实施 必要 的 非 对 称 密 钥 加 密 步 骤 , 要 伪造 
签名 就 不 那么 容易 。 但 是 ,这 个 流程 仍然 是 不 完善 的 。 如 果 Alice 将 公 钥 发 送 给 Bob 的 方 
式 不 安全 ,也 会 遭受 中 间 人 攻击 ,Bob 收 到 的 也 许 就 是 被 替换 的 假冒 公 钥 ; 而 且 , 密 钥 管理 
本 身 就 是 一 项 难题 , 密 钥 的 生成 ,分 发 .存储 、 使 用 等 任何 一 个 环节 不 够 严谨 ,都 会 使 整个 安 
全 体系 分 骨 离 析 。 所 以 ,一 个 实用 化 的 网 络 与 信息 安全 系统 应 充分 运用 各 种 加 密 算法 安全 
协议 、 密 钥 管 理 技术 ,建立 严密 的 认证 ,保密 体系 ,才能 真正 达到 保障 信息 可 信 性 、 完 整 性 、 机 
密 性 .可 湖 性 的 目标 。 
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13.1 密 钥 安全 


13.1.1 Diffie-Hellman 算法 


信息 加 密 所 使 用 的 密 钥 需要 严格 保密 ,对 称 加 密 算 法 的 私 钥 需 要 让 通信 
双方 安全 地 同时 掌握 , 非 对 称 加 密 算法 的 公 钥 需要 可 信 地 传递 ,这 些 都 需要 
密 钥 安全 管理 机 制 来 保障 。 如 果 密 钥 管 理 漏洞 百出 ,再 完美 的 加 密 算法 也 毫 
无 用 处 ,所 谓 的 保密 体系 将 形同虚设 。 

密 钥 安全 管理 具体 包括 三 个 方面 的 工作 目标 : 密 钥 生 成 (或 更 新 )、 密 钥 
分 发 (或 传递 ) . 密 钥 保管 (或 托管 ) 。 

例如 ,在 一 个 个 用 户 的 网 络 中 ,车 要 进行 两 两 会 话 ,每 个 会 话 使 用 一 个 
密 钥 ,就 至 少 需 要 nn 一 1)/2<w/2 个 密 钥 。100 个 用 户 的 网 络 需 要 管理 约 
5000 个 密 钥 。 若 用 户 数 更 多 , 密 钥 必然 泛滥 成 灾 。 因 此 ,必须 依靠 密 钥 管理 
系统 进行 自动 的 、 安 全 的 、 高 效 的 密 钥 生成 和 分 发 工作 。 

密 钥 管理 以 数学 算法 为 基础 ,通过 建立 密 钥 管理 系统 (如 PKI) ,为 网 络 
中 相互 通信 的 计算 机 服务 。 

Diffie-Hellman 算法 是 一 种 构思 非常 巧妙 的 密 钥 安全 管理 方法 ,充分 运 
用 了 大 质数 的 特性 , 既 实 现 了 对 称 加 密 技 术 的 私 钥 的 生成 ,又 同时 达到 了 通 
信 双 方 安全 持 有 私 钥 的 目的 。 

DH 算法 流程 如 下 。 

(1) 通信 双方 Alice 和 Bob 协商 大 质数 p 和 g,1<g<p,p 和 g 可 公开 。 

(2) Alice 秘密 选取 大 随机 数 ,计算 X==g*(mod p)。 

(3) Bob 秘密 选取 大 随机 数 1, 计 算 Y=g'(mod p)。 

(4) Alice 和 Bob 交换 X 和 YY, 并 分 别 计算 。 

Alice: Ka = Y’(mod p); Bob: Ks = X'(mod p) 

显然 成 立 : KA 二 Ks 二 gq”*(mod p)。 则 Ka。 和 Ks 即 分 别 成 为 Alice 和 Bob 握 
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有 的 私 钥 。 

DH 算法 中 ,虽然 p.g 和 X 是 公开 的 ,但 由 于 大 随机 数 s 和 + 上 是 保密 的 ,攻击 者 难以 
据 此 推算 KA 和 Ks ,而 合法 通信 双方 则 安全 掌握 了 私 钥 。 

运用 非 对 称 密 钥 ECC 加 密 技 术 , 可 设计 与 DH 方法 有 异曲同工 之 妙 的 密 钥 安全 管理 
算法 。 

(1) Alice 和 Bob 协商 有 限 域 GF(2*) 上 的 椭圆 曲线 ,基点 PEE(GF(2*)),n 为 P 
的 阶 。 

(2) Alice 随机 选取 x ,0 二 Xx 二 n; Alice 发 送 ks 二 xP。 

(3) Bob 随机 选取 y,0 三 y 三 n; Bob 发 送 如 一 yP。 

(4) Alice 计算 : kap 二 yKa; Bob 计算 : ksa = 二 xKs。 

由 于 Ras 三 ke 二 TyP, 则 Alice 和 Bob 成 功 拥有 了 相同 的 私 钥 。 


13.1.2 X.509 数字 证 书 


ITU-T X. 509 标准 第 1 版 发 布 于 1988 年 7 月 3 日 ,作为 X.500 的 LDAP 目录 服务 标准 的 
一 部 分 ,用 于 单 点 登录 (Single Sign-On,SSO) 和 授权 管理 基础 设施 (Privilege Management 
Infrastructure,PMI) 。X. 509 定义 了 (但 不 限于 ) 公 钥 证 书 ,证 书 吊 销 清单 、 属 性 证 书 和 证 书 
路 径 验 证 算法 等 技术 标准 。X. 509 第 2 版 (1993 年 ) 引 入 了 主体 和 签发 人 唯一 标识 符 ,以 解 
决 主体 及 签发 人 名 称 在 一 段 时 间 后 可 能 重复 使 用 的 问题 。1996 年 发 布 的 X. 509 第 3 版 支 
持 扩展 功能 ,任何 人 均 可 定义 扩展 并 将 其 纳入 证 书 中 。 常 用 的 扩展 包括 : 密 钥 用 途 (Key 
Usage) 指 出 密 钥 用 于 特殊 目的 ,例如 只 签 ; 别名 (Alternative Names) 允许 其 他 标识 与 公 钥 
证 书 关联 ,例如 DNS 名、 电子 邮件 地 址 、IP 地 址 等 。 

数字 证 书 (Digital Certificate) 又 称 公 钥 证 书 ,颁发 者 和 签署 者 是 合法 的 、 可 信和 的 第 三 方 
证 书 颁发 机 构 。 数 字 证 书 实际 上 是 一 个 用 数字 方式 签名 的 真实 性 得 到 保证 的 声明 (或 名 
片 ), 其 格式 符合 X. 509/RFC 5280(2008 年 5 月) 标准 。RFC 1442 定义 了 数字 证 书 的 信任 
链 ,RFC 2459 是 证 书 的 配置 文件 ,证 书 数据 采用 ASN. 1(X. 690) 编 码 。 一 张 数字 证 书 主要 
包含 以 下 内 容 : 

(1) 证 书 的 版 本 信息 (V3)。 

(2) 证 书 授 予 的 主体 ( 即 证 书 使 用 者 ) 名 称 和 标识 (X. 500 格式 ), 如 用 户 名 称 ( 例 如 姓 
名 、 公 司 名 称 ) ,目录 名 、 电 子 邮件 地 址 、 域 名 等 ,由 通用 名 (Common Name,CN) ,组 织 单 位 
(Organization Unit,OU) ,组 织 (Organization,O 〇 ) 和 国家 (Country,C) 的 组 合 来 唯一 指 代 。 

(3) 证 书 的 唯一 序列 号 。 如 果 证 书 被 撤销 ,其 序列 号 将 进入 证 书 撤销 清单 (Certificate 
Revocation List,CRL) 中 。 

(4) 证 书 所 使 用 的 签名 算法 (如 MD5 .SHA 等 )。 

(5) 证 书 的 颁发 机 构 ( 即 CA) 名 称 。 

(6) 证 书 的 有 效 期 (UTC 时 间 格 式 )。 

(7) 证 书 主体 的 公 钥 算法 和 公 

(8) 证 书 的 MD5 数字 摘要 (由 CA 私 钥 签名 ) 等 。 

用 户 通过 申请 自己 的 数字 证 书 , 可 获得 CA 的 公 钥 、 验 证 证 书 的 公 钥 、 用 户 自己 的 私 钥 
( 指 公 钥 算 法 的 私 钥 ); 用 户 获 得 数字 证 书后 ,可 向 CA 在 线 申请 并 获取 经 过 CA 签名 认定 的 
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通信 对 方 的 公 钥 。 使 用 这 些 密 钥 配合 相应 的 加 密 算 法 和 操作 流程 即 可 完成 身份 认证 、 信 息 
加 密 、 密 钥 分 发 等 重要 应 用 。 

数字 证 书 可 以 存放 在 计算 机 或 移动 介质 中 ,还 可 以 采用 USB-KEY 硬件 形式 。 

如 图 13. 1 所 示 ,用 户 ( 主 体 ) 的 数字 证 书 由 证 书 内 容 和 数字 签名 两 部 分 组 成 ,证 书 内 容 
包含 了 持 有 数字 证 书 的 主体 的 身份 信息 、 公 钥 和 认证 机 构 的 名 称 等 信息 ,认证 机 构 用 私 钥 对 
证 书 内 容 进 行 数字 签名 ,并 附加 在 数字 证 书 中 ,其 他 用 户 只 需 获 得 认证 机 构 的 公 钥 , 即 可 验 
证 并 获取 该 数字 证 书 所 包含 的 主体 的 公 钥 ,从 而 达到 安全 获取 通信 对 方 公 钥 的 目的 。 

X. 509 数字 证 书 的 数据 结构 如 图 13. 2 所 示 。 


第 3 版 服 不 配 versuib (0x02) 

序列 号 1 1 1 

certificate serial number| = | 1 

容 名 算法 标识 | 化名 算法 algortm | | | | 

algorithm id 参数 parameters | 1 1 

发 布 考 名 称 ee 

issuer name 第 1 1 

证 书 有 效 期 ”| 超 始 日 期 not before | 第 | 

period ofvalidity | 终止 日 期 notafer | 版 2 第 

主体 名 称 1 版 3 

subiect name | 二 

主体 的 公 钥 信息 Lo 

subject's 参 1 1 1 

public key info 公 钥 key 1 | 1 

数字 证 书 认证 机 构 的 私 钥 发 布 者 唯一 标识 | 

issuer unique id 1 

主体 唯一 标识 | 
主体 身份 信息 Subject unique id 1 1 
主体 的 公 钥 生成 签名 扩展 信息 
认证 机 构 名 称 
认证 机 构 名 称 证 书签 名， 本 
~ er signature 0 met : 
认证 机 构 的 数字 签名 Ee 加 密 捉 encrypted 本 
图 13.1 数字 证 书签 名 结构 图 13.2 X.509 数字 证 书 数据 结构 


数字 证 书 可 以 颁发 给 法 人 或 自然 人 ,也 可 颁发 给 计算 机 设备 ; 依据 应 用 目标 的 不 同 ,有 
身份 鉴别 证 书 、 电 子 邮 件 证 书 、 文 件 加 密 证 书 、 安 全 互 连 证 书 、 密 钥 管 理 证 书 、 版 权 保护 证 书 
和 时 间 截 证 书 等 。 


13.1.3 CA 


数字 证 书 管理 机 构 (Certificate Authority,CA) 是 数字 证 书 的 颁发 者 和 管理 者 。CA 被 
公认 为 一 个 采用 X. 509 标准 化 技术 的 可 信 的 第 三 方 实体 机 构 , 是 PKI 体系 的 核心 组 成 
部 分 。 

CA 采用 了 一 种 树 型 结构 来 建立 层次 化 的 信任 传递 关系 ,如 图 13. 3 所 示 , 称 为 证 书 链 
(certificate chain) 。 

(1) 根 CA(Croot CA) 具 有 一 个 自 签 名 的 证 书 。 

(2) 从 根 CA 开始 ,依次 对 下 层 的 从 属 CA(subordinate CA) 签 名 。 

(3) 层次 结构 中 ,叶子 节点 上 的 CA 用 于 对 个 体 进行 签名 。 

(4) 对 于 个 体 而 言 , 只 需 信任 根 CA ,中间 CA 可 以 不 必 关 心 (透明 的 )。 

(5) 在 每 个 结 点 CA 上 ,需要 保存 两 种 证 书 : 前 向 证 书 (forward certificate) 是 其 他 CA 
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root 下 siete "| 
CAo 证 !|CAo 证 书 | CAo 答 名 | 
旬 
CA (ca;) (ca;) 呈 CA 证书 | CA 签名 全 1! 
| | 
1 1 
(Ca) (cA:) (CAa) (cas) (Can) (Can) 1EA5i 证 书 | CA 签名 人 ! 
1 1 
| | 
| | 
A _ AA _ | ! 
S$, 证 书 | CAa 签 名 
| el， 


(a) (b) 
图 13. 3 CA 证 书 链 和 签名 关系 


颁发 给 自己 的 证 书 ; 反 向 证 书 (reverse certificate) 是 CA 颁发 给 其 他 CA 的 证 书 。 

其 中 , 根 CA 是 一 种 特殊 的 CA( 全 球 有 很 多 根 CA, 相 互 建 立信 任 关系 ), 受 到 无 条 件 的 
信任 ,位 于 证 书 层次 结构 的 最 高 层 ,必须 对 CA 自己 的 证 书签 名 ,因为 在 证 书 层次 结构 中 再 
也 没有 更 高 的 认证 机 构 了 ,所 以 又 称 为 自 签 名 CA。 另 一 种 为 从 属 CA ,证 书 中 的 公 钥 和 用 
于 核实 证 书 的 CA 公 钥 是 不 同 的 。 一 个 CA 向 另 一 个 CA 颁发 证 书 的 过 程 称 为 交叉 认证 ， 
具体 有 单 向 交叉 认证 、 双 向 交叉 认证 两 种 情况 ,并 可 以 进一步 细 分 为 域内 交叉 认证 (同一 个 
层次 结构 内 部 ) 和 域 间 交叉 认证 (不 同 的 层次 结构 之 间 )。 

CA 层次 结构 是 非常 重要 的 。 因 为 Internet 不 可 能 只 由 少数 几 个 CA 向 所 有 用 户 提供 
服务 ,而 是 需要 许多 CA( 通 常 是 本 地 的 ,本 行业 的 ) 同 时 向 用 户 提供 服务 。 这 样 ,CA 间 的 信 
任 贯通 机 制 十 分 必要 。 例 如 ,计算 机 操作 系统 和 浏览 器 中 内 置 了 全 球 可 信任 的 根 CA 证 书 ， 
当 用 户 获 得 一 张 数字 证 书 时 ,只 要 对 该 证 书签 名 的 CA 位 于 证 书 链 上 , 则 通过 信任 传递 ,用 
户 即 可 验证 并 信任 证 书 。 

例如 ,Alice 希望 在 CA 的 帮助 下 ,可 信 地 获取 Bob 的 公 钥 ,以 便 进行 下 一 步 的 密 钥 管理 
和 保密 通信 , 则 执行 如 下 流程 。 

(1) Alice 安全 地 取得 CA 的 公 钥 (Alice 可 以 在 申请 并 获得 自己 的 数字 证 书 时 可 靠 获 
得 CA 的 公 钥 ) 。 

(2) Alice 向 CA 请 求 Bob 的 数字 证 书 。 

(3) CA 向 Alice 发 送 Bob 的 数字 证 书 ( 其 中 带 有 CA 的 私 钥 签名 ) 。 

(4) Alice 接收 来 自 CA 的 Bob 的 数字 证 书 ,并 验证 CA 签名 。 

(5) Alice 从 Bob 的 数字 证 书 中 可 信 地 获得 Bob 的 公 钥 。 

CA 负责 建设 和 维护 数字 证 书 管理 信息 系统 ,并 为 用 户 提供 证 书 申请 、 发 放 、 托 管 验 
证 ,撤销 等 服务 。CA 系统 中 ,从 提供 服务 功能 的 角度 还 可 分 为 RA、UA 和 WP 等 不 同 
角色 。 

证 书 登记 机 构 (Register Authority, RA) 分 散在 各 处 (如 银行 、 大 型 企业 、ISP 等 ) ,与 CA 
有 机 结合 ,接受 客户 申请 、 审 批 申请 ,并 把 证 书 正式 请 求 发 送 给 CA。RA 的 分 布 式 结构 有 利 
于 CA 服务 网 点 的 开设 ,具有 较 好 的 扩充 性 ,也 极 大 地 提高 了 认证 效率 。 可 以 把 RA 看 做 一 
级 弱化 的 CA。 
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证 书 发 布 系统 (Web Publisher, WP) 是 Internet 上 普通 用 户 和 CA 直接 交流 的 界面 。 
对 用 户 来 说 WP 相当 于 一 个 在 线 的 证 书 数据 库 。 用 户 的 证 书 颁发 之 后 ,CA 通知 用 户 , 然 后 
用 户 使 用 浏览 器 从 WP 下载 证 书 。 

用 户 代理 (User Agent,UA) 或 称 为 目录 用 户 代 理 (Directory User Agent,DUA) 是 采 
用 轻 量 目录 访问 协议 (Light Directory Access Protocol, LDAP) 技 术 建 立 的 系统 ,接受 用 户 
查询 .证书 回收 和 更 新 请 求 ,并 直接 向 用 户 返 回 服务 结果 。 在 有 大 量 用 户 的 情况 下 ,可 在 每 
个 CA 安全 域 (通常 以 地 理 位 置 分) 部 署 多 个 UA, 也 可 在 整个 Root CA 管理 的 证 书 域 部 
团 UA。 


13.1.4 PKI 


公 钥 基础 设施 (Public Key Infrastructure,PKI) 遵循 X. 509 标准 ,是 生成 .管理 ,存储 、 
分 发 .撤销 数字 证 书 所 需要 的 一 整套 硬件 软件. 人员、 策略 ,过程 等 ,可 视 为 实现 CA 的 完整 体 
系 结构 。PKI 包含 一 系列 公共 密 钥 加 密 标 准 (Public-Key Cryptography Standards,PKCS) ,如 ， 
。 PKCS #1——RSA Encryption Standard 


。 PKCS #3 Diffie-Hellman Key-Agreement Standard 
e。 PKCS #5 Password-Based Encryption Standard 

。 PKCS #6 Extended-Certificate Syntax Standard 

。 PKCS #7 Cryptographic Message Syntax Standard 
。 PKCS #8: Private-Key Information Syntax Standard 
。 PKCS #9 Selected Attribute Types 

。 PKCS #10 Certification Request Syntax Standard 


PKCS #11——Cryptographic Token Interface Standard 
PKCS #12——Personal Information Exchange Standard 
PKCS #13——Elliptic Curve Cryptography Standard 
PKCS #15 Cryptographic Token Information Format Standard 

PKI 系统 具有 数字 证 书 管理 机 构 (CA) 数字 证 书库 、 密 钥 备 份 及 恢复 系统 、 证 书 撤销 清 
单 (CRL) 系 统 、 应 用 程序 接口 (APD 等 基本 构件 ,建立 PKI 也 将 围绕 着 这 五 大 系统 来 进行 。 

PKI 提供 完善 的 信息 安全 所 需 的 密 钥 管 理 和 服务 环境 。 以 Alice 与 Bob 进行 安全 电子 
邮件 通信 为 例 , 可 执行 如 下 操作 流程 。 假 定 Alice 和 Bob 事先 都 已 经 拥有 数字 证 书 。 

(1) Alice 从 CA 安全 获得 Bob 的 公 钥 ( 见 13.1.3 节 )。 

(2) Alice 创建 一 个 对 称 密 钥 加 密 的 会 话 密 钥 。 

(3) Alice 使 用 该 会 话 密 钥 加 密 邮 件 明文 。 

(4) Alice 使 用 Bob 的 公 钥 将 该 会 话 密 钥 加 密 。 

(5) Alice 将 邮件 密 文 和 加 密 密 钥 一 起 发 送 (根据 电子 邮件 应 用 特点 ) 。 

(6) Bob 使 用 自己 的 非 对 称 加 密 算 法 私 钥 来 解密 会 话 密 钥 。 

(7) Bob 使 用 会 话 密 钥 解密 邮件 密 文 ,得 到 明文 。 

思考 : 为 何 当 需 要 发 送 保密 邮件 时 ,通信 双方 都 需要 拥有 数字 证 书 , 而 发 送 数字 签名 邮 
件 时 ,只 需 发 送 方 拥有 数字 证 书 ? 
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13.2 安全 认证 


13.2.1 “PAP 


口令 鉴别 协议 (Password Authentication Protocol,PAP) 是 PPP 中 采用 的 一 种 安全 协 
议 , 在 初始 链 路 建立 的 基础 上 ,通过 二 次 握手 机 制 提供 一 种 对 等 结 点 间 身 份 认证 的 简单 
放 潜 = 


PPP 在 LCP 协商 阶段 配置 的 鉴 权 协议 选择 参数 为 二 type 0 类 型 
一 length> 一 authen-protocol 二 = 一 03 | 04 | c0 23 二 ,表示 采用 D 
PAP。PAP 的 报 文 格式 如 图 13.4 所 示 。 3 总 长 度 
PAP 报 文 类 型 有 :, 1 二 鉴别 请 求 (Authenticate Request) ,2 一 鉴 4 用 户 名 长 度 
别 确认 (Authenticate Ack),3 二 鉴别 否认 (Authenticate Nak)。 请 … 用 户 名 字符 串 
求 及 其 确认 (否认 ) 报 文 应 具有 相同 的 ID 号 。 (明文 ) 
PAP 非常 简单 , 即 用 户 终端 发 送 带 有 用 户 名 和 口令 的 鉴别 请 求 “ 
报 文 给 服务 器 ,服务 器 经 过 口令 认证 ,返回 鉴别 确认 或 否认 的 报 文 。 EE 
显然 ,PAP 存在 比较 验证 的 安全 性 缺陷 ,因为 用 户 名 和 口令 均 口令 字符 串 
以 文本 字符 格式 (明文 ) 在 线路 上 进行 传输 ,对 于 通信 和 窍 听 、 重 放 攻 (明文 ) 
击 ` 反 复 尝 试 等 没有 任何 防范 能 力 。 
13.2.2 CHAP 图 13.4 PAP 报 文 格式 


挑战 握手 鉴别 协议 (Challenge-Handshake Authentication Protocol,CHAP) 是 PPP 的 
安全 认证 协议 之 一 ,在 RFC 1994 中 定义 。 

PPP 在 LCP 协商 阶段 配置 的 鉴 权 协议 选择 参数 为 二 type 记 二 length 二 二 authen- 
protocol>> 二 algorithm 记 二 一 03 | 05 | c2 23 | 05 二 ,表示 选用 CHAP 和 MD5 单 向 函数 算法 。 

CHAP 的 报 文 格式 为 二 code 8bit>> 一 identifier 8bit 二 一 length 16bit 二 一 data 之 。 其 
中 code 表示 的 报 文 类 型 有 1= Challenge,2 王 Response,3 王 Success,4 王 Failure。 请 求 和 响 
应 报 文 均 具有 相同 的 identifier 编码 (用 以 配对 ) ,而 每 个 Challenge 报 文 的 identifier 都 应 与 
前 一 个 发 送 的 不 同 。 

挑战 (challenge) 是 一 种 早期 军队 狭路相逢 时 (尤其 在 黑暗 中 ) 辨 别 敌我 的 方法 。 如 果 一 
方 说 “一 匹 马 ” 作 为 挑战 词 , 另 一 方 应 回答 事先 秘密 约定 好 的 绝密 口令 列表 第 一 项 “土豆 ”; 
如 果 挑 战 为 "八达岭 ”回答 则 为 第 八 项 "老虎 *。 回 答 错误 者 绝 非 友 军 。 

为 保障 安全 性 ,CHAP 通信 双方 采用 秘密 数 (secret) 单 向 加 密 的 检验 机 制 。 但 secret 
并 不 在 网 络 上 传输 ,而 是 由 双方 保存 同样 的 secret 数据 表 , 这 样 双 方 都 可 以 验证 。 网 上 传输 
的 是 用 于 检索 secret 的 挑战 值 和 secret 的 单 向 函数 加 密 值 。 要 求 挑战 值 和 secret 每 次 都 不 
重复 (一 般 可 为 大 随机 数 ) ,并 且 从 挑战 值 无 法 推算 出 secret。 

对 于 Challenge 和 Response 报 文 , data 字段 采用 如 下 结构 : 二 valuer-size 二 一 value 二 
<name 盖 。Challenge 报 文 的 value 中 存放 挑战 值 ,长 度 由 value-size 决定 ,可 由 一 个 或 多 个 
字 节 组 成 ,最 高 字 节 先 发 送 ; Response 报 文 的 value 中 存放 由 挑战 值 检索 到 的 secret 的 
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Hash 结果 (如 果 采 用 MD5 算法 , 则 为 16B)。name 字段 的 长 度 由 CHAP 报 文 总 长 度 
length 决定 ,存放 一 个 或 多 个 字 节 的 报 文 发 送 方 主机 名 称 或 账号 字符 串 , 在 多 个 用 户 接 人 的 
情况 下 ,可 用 于 相互 区 分 。 

对 于 Success 和 Failure 报 文 , 分 别 表示 鉴别 成 功 和 失败 ,data 字段 存放 文本 型 消息 ,长 
度 由 length 值 决 定 ,用 于 解释 鉴别 的 结果 (可 供 显示 )。 

如 图 13. 5 所 示 ,CHAP 通过 三 次 握手 机 制 周期 性 地 鉴别 通信 对 端的 身份 ,可 在 初始 链 
路 建立 时 进行 鉴别 ,并 在 链 路 建立 之 后 重复 进行 。 通 过 递增 改变 的 标识 符 和 可 变 的 挑战 值 ， 
CHAP 可 有 效 防止 来 自 非法 用 户 端 的 重 放 攻 击 。 虽 然 该 流程 实现 的 是 单 向 认证 ,但 任意 一 
方 均 可 按 此 流程 发 起 对 对 方 身份 的 鉴别 。 


鉴别 发 起 方 局 Challengde[x,] + 被 鉴别 方 
x 


Se 
so | ,7 户 
mh | A 


Cal Hs{H]| v 


jsn | 函数 得 到 


Response[/h] 


MD 中 二 > 
单 向 
函数 


Success/Failure 


图 13.5 CHAP 鉴别 三 次 握手 机 制 


CHAP 可 用 于 用 户 登 录 的 安全 认证 。 由 服务 器 为 鉴别 发 起 方 ,发 送 以 随机 数 ( 每 次 不 
同 ) 作 为 挑战 值 的 Challenge 报 文 ; 用 户 方 回复 将 用 户 名 作为 name 字段 内 容 、 将 口令 和 挑 
战 值 混 合 后 计算 Hash 值 的 Response 报 文 ; 服务 器 可 根据 用 户 名 检索 口令 表 并 按 同样 方式 
计算 Hash 值 ,与 收 到 的 Response 报 文中 的 值 比较 , 即 可 鉴别 用 户 合法 性 。 


13.2.3 RADIUS 协议 


远程 拨号 用 户 认 证 服务 (Remote Authentication Dial-In User Service, RADIUS) 是 应 用 非 
常 广泛 的 AAA 协议 , 即 提供 鉴别 (authentication) ,授权 (authorization) 及 记 账 (accounting) 三 类 
服务 。1997 年 发 布 了 RFC 2058 标准 ,随后 是 RFC 2138, 最 新 版 本 的 RFC 2865/2866 发 布 
于 2000 年 6 月 。 

RADIUS 是 一 种 C/S 结构 的 协议 ,其 客户 机 并 非 通常 的 网 络 登 录用 户 计算 机 ,而 是 网 
络 接 入 服务 器 (Network Access Server, NAS) ,通信 服务 器 (Access Concentrator, AC)、 应 
用 服务 器 、Web 服务 器 .数据库 服 务 器 等 ,还 包括 运行 RADIUS 客户 机 软件 的 其 他 网 络 设 
备 。RADIUS 协议 认证 机 制 灵活 ,可 以 为 PAP、CHAP 或 者 操作 系统 登录 等 多 种 方式 提供 
认证 服务 。RADIUS 也 是 一 种 可 扩展 的 协议 ,其 全 部 工作 都 是 基于 {attribute, length， 
value} 向 量 进行 的 ,并 支持 扩充 不 同 设备 专用 的 属性 。IEEE 提出 的 用 于 无 线 网 络 接 入 认证 
的 802. 1x 标准 同样 采用 RADIUS 协议 。 

RADIUS 协议 采用 UDP 传输 ,端口 1812 用 于 认证 服务 ,端口 1813 用 于 记 账 服务 。 
RADIUS 报 文 格式 如 图 13.6 所 示 。 

Code 字段 指出 RADIUS 报 文 类 型 : 1 王 服务 请 求 (Access Request); 2 一 服 务 接受 (Access 
Accepb; 3 二 访问 拒绝 (Access Reject); 4 三 记 账 请 求 (Accounting Request) ; 5 王 记 账 响应 
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(Accounting Response); 11 王 访问 挑战 (Access Challenge) 。 


0 8 16 31 


类 型 (Code) 标识 (Identifier) 长 度 (Length) 


鉴别 (Authenticator) 
(16B) 


属性 (Attributes) 
(可 变 长 ) 


图 13.6 RADIUS 报 文 格式 


Authenticator 字段 为 16B 的 鉴别 字 , 用 于 RADIUS 客户 机 和 服务 器 之 间 判别 消息 有 
效 性 。Access Request 报 文中 鉴别 字 的 值 是 16B 随机 数 ( 设 为 Random) ,要 求 不 能 被 预测 
并 且 在 一 个 共享 密 钥 ( 设 为 Secret) 的 生命 期 内 唯一 。 其 他 报 文 的 鉴别 字 分 别 定义 为 : 

Access Accept Access Reject 和 Access Challenge: 

A = MD5(Code + ID+ Length + Random + Attributes + Secret) 

Account ing Request: 

Rz = MD5(Code + ID+ Length + 16ZeroOctets + Attributes + Secret) 

Account ing Response: 

Ra = MD5(Code + ID+ Length + A, + Attributes + Secret) 


Identifier 字段 是 用 于 匹配 请 求 和 响应 报 文 的 标识 符 (ID) 。 

Attributes 字段 用 于 传送 服务 类 型 .用户 名 .口令 IP 地 址 .端口 号 .协议 类 型 等 信息 , 格 
式 为 过 type 8b> 二 length 8b>> 二 value 之 。 例 如 : type 二 1 为 用 户 名 ,type 二 2 为 用 户口 令 ， 
type 二 3 为 CHAP 口令 等 。 用 户口 令 不 应 在 网 络 上 传输 ,可 采用 如 下 方法 封装 。 

设 共享 秘密 字 (secret) 为 S,128b 的 伪 随 机 数 鉴别 字 为 RA。 将 口令 字符 串 分 隔 为 16B 
数据 块 p;,i 王 1,2,… ,最 后 一 块 以 0 填充。 计算 : 

b = MD5(S+ RA),c(1) = 加 xor bh; 
lb = MD5(S+ ce(1)),c(2) = ps xor bs; 


b; = MD5(S+ce(i—1)),c(i) = p; xor b; 
最 后 级 联 c(1) 十 c(2) 十 … 十 c(i), 作 为 用 户口 令 传 送 时 value 字段 的 内 容 。 认 证 服务 器 
可 以 按 同 样 算 法 进行 验证 。 
RADIUS 协议 工作 流程 如 图 13.7 所 示 。 
RADIUS 还 支持 代理 和 漫游 功能 。 代 理 服务 器 负责 转发 RADIUS 认证 和 记 账 报 文 ; 漫游 
功能 则 是 代理 的 一 个 具体 实现 ,使 用 户 可 以 使 用 其 他 非 归属 地 的 RADIUS 服务 器 进行 认证 。 
思考 : 为 什么 不 是 直接 在 NAS 上 验证 用 户 而 需要 使 用 RADIUS 协议 ? 


13.2.4 Kerberos 协议 


Kerberos 协议 是 一 种 计算 机 网 络 鉴 权 协议 ,用 于 在 非 安 全 网 络 中 对 访问 者 以 安全 的 手 
段 进行 身份 认证 。Kerberos 是 MIT 为 该 协议 开发 的 一 套 软件 的 名 称 。 
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User Computer NAS/AC/Server Server 
网 络 登 录用 户 RADIUS 客 户 机 RADIUS 服 务 器 
| DPAP/CHAP | | 
Username, password @AccessRequest ! 


| (usermame'passwordNAS-ID/port- 了 1 
Access Challenge (optional) 1 
I (token card challenges...) t 

! OAccess Request(if B) 1 

TT (usemame,password,NAS-ID/por) ”| 

1 AccessAccept/Reject 1 

@PAP/CHAP muser service,IP pool,protocols...) 1 
accept or reject 1 DAccounting Request 1 
人 (accounting information,start...) 2 
1 1 
rm 1 
1 

1 1 
[ wy 
1 1 
1 1 
[os 1 
1 1 


@@Accounting Response 
(ack of acceounting info...) 


回 用 户 访问 资源 

1 ( Accounting Request 

| (accounting information,stop,..) 
1 

1 

1 


DAccounting Response 
(ack of accounting Info.) 


图 13.7 RADIUS 协议 工作 流程 


用 于 命名 协议 的 Kerberos 是 希腊 神话 中 一 条 凶猛 的 三 头 神 犬 (又 名 Cerberus) ,是 地 狱 
之 门 的 守护 者 。 

最 初版 本 的 Kerberos 在 1980 年 末 发 布 ,基于 Needhan-Schroeder 算法 。 版 本 5 在 
1993 年 作为 RFC 1510 颁布 ,之 后 在 2005 年 被 RFC 4120 取代 ,相关 标准 还 有 RFC 3961/ 
3962/4121。 

Kerberos 系统 采用 C/S 结构 ,支持 通信 双方 的 相互 认证 ,可 以 防止 数据 窃听 、 防 止 重 放 
攻击 ,保护 数据 完整 性 。Kerberos 运用 对 称 密 钥 加 密 体制 进行 密 钥 管理 ,其 扩展 方法 也 可 
使 用 公开 密 钥 加 密 方法 。 当 有 N 个 用 户 使 用 该 系统 时 ,为 确保 在 任意 两 方 之 间 进行 秘密 对 
话 , 系 统 维护 与 每 个 用 户 的 共享 密 钥 ,所 需 的 最 少 会 话 密 钥 数 为 N 个 。 

Kerberos 由 两 个 独立 的 逻辑 部 分 组 成 : 认证 服务 器 (Authentication Server,AS) 和 票 
据 授权 服务 器 (Ticket Granting Server,TGS), 共 同形 成 可 信赖 的 第 三 方 , 称 为 密 钥 分 发 中 
心 (Key Distribution Center, KDC)。Kerberos 的 工作 基于 用 来 证 明 用 户 身份 的 票据 
(ticket) 。 用 票据 授权 的 票据 (也 称 票据 的 票据 ) 简 称 TGT(Ticket Granting Ticket) 。 为 区 
别 于 KDC 服务 器 ,把 提供 应 用 服务 的 服务 器 称 为 SSCService Server) 。 

KDC 拥有 一 个 密 钥 数据 库 ; 每 个 网 络 实体 ,无 论 是 客户 终端 还 是 服务 器 ,共享 一 套 只 
有 自身 和 KDC 知道 的 密 钥 ,该 密 钥 用 于 证 明 实 体 的 身份 。 对 于 两 个 实体 间 的 通信 ,KDC 产 
生 一 个 会 话 密 钥 ,用 来 加 密 交 互信 息 。 

如 图 13. 8 所 示 ,用 户 终端 (客户 机 ) 在 获得 SS 服务 前 ,应 首先 和 KDC 间 使 用 对 称 密 钥 
加 密 ( 如 DES、AES) 的 Kerberos 协议 进行 认证 。 

认证 协议 的 执行 过 程 如 下 。 

(1) 用 户 使 用 客户 机 登录 。 

@ 用 户 输入 用 户 名 U( 用 户 ID) 和 口令 P。 


207 


208 


络 协议 与 网 络 安全 (第 2 版 ) 


L_ ”一 一” _ J 
Kiem 1 到 
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User Terminal [1 全 Server 
username:U 大 HUP 
password:P shient (P) Kss 
人 TGSsession KSss session 
Kss-session 


图 13.8 KDC 与 客户 机 和 服务 器 认证 关系 示意 


@ 客户 机 程序 计算 Kuien 二 Hash( 了 ) ,作为 客户 机 的 用 户 密 钥 。 受 信任 的 AS 通过 安全 
的 途径 事先 已 获取 了 相同 的 密 钥 。 

(2) 客户 机 认证 (客户 机 从 AS 获取 TGT)。 

@ 客户 机 向 AS 发 送 一 条 包含 用 户 ID 的 明文 信息 ,表明 用 户 U 请 求 服务 。 

@ AS 检查 用 户 ID 有 效 性 ,并 返回 两 条 消息 。 

a, 消息 A: 用 Kuiem 加 密 的 Krtessession (客户 机 -TGS 会 话 密 钥 ,用 于 将 来 客户 机 与 TGS 
的 会 话 ) 。 

b. 消息 B: 用 Kres(TGS 密 钥 ) 加 密 的 TGT(TGT 包括 Krcssesm、U 用 户 网 址 .TGT 
有 效 期 ) 。 

@ 客户 机 Ku 解密 消息 A 内 容 , 得 到 Krcssesm 。 注 意 : 客户 机 不 能 解密 消息 B, 因 为 
是 用 Krcs 加 密 的 。 

(3) 服务 授权 (客户 机 从 TGS 获取 票据 T) 。 

@ 客户 机 向 TGS 发 送 以 下 两 条 消息 。 

a. 消息 c: 收 到 的 消息 B 和 想 获 取 的 服务 的 服务 ID。 

b. 消息 &: 用 Krcsseso 加 密 的 认证 符 ( 包 括 U 和 时 间 戳 ) 。 

@ TGS 用 Kres 解 密 消 息 c 中 的 消息 B 得 到 TGT, 从 而 得 到 AS 提供 的 Kroswewson; 然 
后 用 Kressesion 解 密 消息 d 得 到 U; 而 后 向 客户 机 发 送 两 条 消息 。 

a. 消息 EE: 用 Kss (服务 器 SS 密 钥 ) 加 密 的 T(T 包括 客户 机 -SS 会 话 密 钥 Kssswson 、U 、 
用 户 网 址 、T 有 效 期 )。 

b. 消息 下: 用 Ktessesson 加密 后 的 Kss-session 。 

@ 客户 机 用 Kos-session 解 密 消息 下 ,得 到 Ks sw。 注意 : 客户 机 不 能 解密 消息 已, 因为 
是 用 Kss 加 密 的 。 

(4) 服务 请 求 (客户 机 从 服务 器 SS 获取 服务 ) 。 

@ 客户 机 向 SS 发 出 两 条 消息 。 

a. 消息 e: 消息 E。 

b. 消息 g: 用 Kss seson 加密 后 的 新 认证 符 ( 包 括 U 和 时 间 截 ) 。 

@ SS 用 Kss 解 密 消 息 E( 即 e) 得 到 了 ,从 而 得 到 TGS 提供 的 Ksssesson。 用 Kss sosion 解 密 
消息 g 得 到 U, 而 后 向 客户 机 返回 一 条 确认 消息 ( 意 为 : 确证 身份 真实 ,乐于 提供 服务 ) 。 

消息 及 是 用 sswexion 加 密 后 的 新 时 间 截 (客户 机 发 送 的 时 间 蕉 加 1) 。 

@ 客户 机 用 Ksssesiom 解 密 消息 互 , 得 到 新 时 间 戳 。 
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@ 客户 机 发 现时 间 截 在 消息 五 中 被 正确 地 更 新 ,表明 客户 机 可 以 信赖 服务 器 (SS), 因 
此 向 SS 发 送 服务 请 求 。 
@ 服务 器 (SS) 响 应 并 提供 服务 。 


13.3 TCP/IP 安全 


T3535 PPTP 


点 对 点 隧道 协议 (Point-to-Point Tunneling Protocol,PPTP) 是 一 种 支持 多 协议 虚拟 专 
用 网 络 (Virtual Private Network,VPN) 的 技术 ,由 RFC 2637 定义 ,工作 在 第 二 层 ,协议 规 
范本 身 并 未 描述 数据 加 密 或 身份 验证 的 特性 。 

PPTP 工作 在 点 对 点 链 路 上 ,可 实现 网 络 终端 通过 ISP 拨号 上 网 并 安全 接 人 企业 内 部 网 
络 。PPTP 允许 对 全、IPX 或 NetBEUI 数据 流 进行 加 密 , 然 后 封装 在 IP 报 文 中 ,通过 Intranet 
或 Internet 来 相互 通信 。PPTP 在 远程 客户 端 和 内 部 网 络 的 服务 器 之 间 运 行 ,网 络 互 连 设备 不 
需要 介入 ,因此 ,PPTP 构成 了 穿越 IP 网 络 的 安全 隧道 。 这 种 通过 IP 报 文 在 Internet 上 透明 
传输 信息 的 方式 被 称 为 通用 路 由 封装 (Generic Route Encapsulation ,GRE) 技 术 (RFC 2784) 。 

GRE 可 在 任意 一 种 网 络 层 协议 报 文 中 封装 另 一 种 协议 报 文 ,报头 格式 为 ， 


人 lb; c=1: 校 验 字 有 效 

reserved0; 12b; 保留 

version; 3b; 版 本 号 , 现 为 0 

protocol - type; ”16b; 协议 类 型 (RFC 1700 之 Ether Types), IP:0x0800 
check — sum; 16b; 校 验 字 (可 选 字段 ) 

reservedl; 16b; 保留 (可 选 字段 ) 


PPTP 由 两 个 并 列 的 元 素 组 成 : 控制 连接 工作 在 TCP 上 (端口 号 为 1723) ,在 通信 双方 
间 操 作 ; 控制 连接 建立 后 ,IP 隧道 操作 运行 在 相同 的 通信 双方 之 间 ,传输 GRE 封装 的 PPP 
报 文 (IP 的 协议 标识 为 47) ,实现 用 户 会 话 。 

PPTP 的 报 文 格式 如 图 13. 9 所 示 ( 不 同 的 PDU 格式 上 有 所 不 同 ) 。PPTP 消息 类 型 有 
两 种 ; 1 为 控制 消息 ,2 为 管理 消息 。 


A 4B(32b) 
报 文 总 长 度 (length) PPTP 消息 类 型 (PPTP_type) 
Magic Cookie 一 0x1A2B3C4D 
控制 消息 类 型 (control_type) 保留 (0) 
协议 版 本 (version) 或 原因 码 保留 (0) 或 原因 码 
帧 传输 类 型 (Framing Capabilities) (1: 异 步 ; 2: 同 步 ) 
承载 信道 类 型 (Bearer Capabilities) (1 :模拟 ; 2: 数 字 ) 
最 大 PPP 会 话 数 (max. chnl. ) | 固件 版 本 (firmware revision) 
主机 名 称 (Host Name) 
(64B; 用 0 填充 ) 
供应 商 字 串 (Vendor String) 
(64B; 用 0 填充 ) 


图 13.9 PPTP 报 文 格式 
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(1) 控制 消息 类 型 包括 : 1 一 启动 控制 连接 请 求 ,2 一 启动 控制 连接 回复 ,3 一 停止 控制 
连接 请 求 ,4 一 停止 控制 连接 回复 ,5 一 回 显 请 求 ,6 一 回 显 回复 。 

(2) 管理 消息 类 型 包括 : 1 一 出 呼叫 请 求 ,2 一 出 呼叫 回复 ,3 一 入 呼叫 请 求 ,4 一 入 呼叫 
回复 ,5 一 入 呼叫 接 通 ,6 一 呼叫 清除 请 求 ,7 王 呼叫 断 开 报告 ,8 一 广域网 错误 报告 。 

如 图 13. 10 所 示 为 PPTP 控制 连接 操作 发 送 、 接 收 的 报 文 ,以 及 发 起 方 和 接收 方 的 状态 
转换 关系 。 


TCP 打 开 指示 / 
发 送 启动 控制 连接 请 求 
等 待 控制 回复 
冲突 /关闭 TCP 接收 到 启动 控制 
连接 回复 ， 版 本 正确 
接收 到 启动 控制 | 屿 
连接 回复 ,但 版 本 连接 建立 
不 正确 
本 地 终止 / 
接收 到 停止 控制 连接 请 求 / 发 送 停止 控制 请 求 
人 上 过 币 二 发 送 停止 控制 请 求 
关闭 TOI 
发 起 方 
接收 方 


接收 到 启动 控 制 连接 请 求 ， 版 本 正确 / 
发 送 启动 控制 连接 回复 


发 -控制 
连接 请 求 


接收 到 停止 控制 连接 回复 / 
关闭 TCP 
等 待 停止 回复 


图 13. 10 PPTP 控制 连接 发 起 方 和 接收 方 状态 机 


介 ,3.2 ~" 芝 TR 


第 二 层 隧道 协议 (Layer 2 Tunneling Protocol,L2TP) 与 PPTP 的 功能 类 似 , 且 都 属于 
数据 链 路 ,使 用 PPP 对 数据 进行 封装 ,然后 添加 附加 报头 用 于 数据 在 互联 网 上 的 传输 ,用 于 
VPN 安全 互 连 ,但 是 存在 以 下 差异 。 

(1) PPTP 要 求 基 于 IP 网 络 ; L2TP 只 要 求 隧道 为 面向 分 组 的 点 对 点 连接 ,可 以 在 IP、 
FR(CPVC 方式 )、X. 25 或 ATM 网 络 上 使 用 。 

(2) PPTP 只 能 在 两 端点 间 建 立 单一 隧道 ; L2TP 支持 在 两 端点 间 使 用 多 隧道 ,用户 可 
以 针对 不 同 的 服务 质量 创建 不 同 的 隧道 。 

(3) L2TP 可 以 提供 包头 压缩 。 当 压缩 包头 时 ,系统 开销 (Coverhead) 占 用 4B, 而 PPTP 
下 要 占用 6B。 

(4) PPTP 不 支持 隧道 验证 ,L2TP 则 可 以 提供 隧道 验证 。 但 是 , 当 L2TP 或 PPTP 与 
IPSec 共同 使 用 时 ,可 以 由 IPSec 提供 隧道 验证 ,并 不 需要 在 第 二 层 协议 上 验证 。 

在 IP 网 络 中 ,L2TP 使 用 UDP( 端 口号 1701) 传 输 报 文 , 从 这 个 意义 上 说 ,L2TP 又 像 是 
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一 个 会 话 层 协议 。L2TP 于 1999 年 8 月 由 RFC 2661 定义 (v2),RFC 3817 定义 了 用 于 
PPPoE 的 L2TP 主动 发 现 中 继 协 议 ,2005 年 发 布 了 RFC 3931 定义 的 v3 版 本 。L2TP 协议 
栈 的 结构 如 图 13. 11 所 示 。 


PPP 帧 
L2TP 数 据 报 文 L2TP 控 制 报 文 
L2TP 数 据 通道 (不 可 靠 ) L2TP 控 制 通道 (可 靠 ) 


分 组 网 络 
(UDP/FR/ATM 等 ) 


13.11 L2TP 协议 栈 


L2TP 报头 格式 如 图 13. 12 所 示 。 


0 二 16 31 
TILlxlxlslxlolPlxlx|lx|xlver2) 总 长 度 (Length) (可 选 ) 
隧道 标识 CTunnel ID) 会 话 标识 (Session ID) 
发 送 序号 (Ns)( 可 选 ) 接收 序号 (Nr) (可 选 》 

偏 移 量 大 小 (Offset Size) (可 选 ) 偏 移 量 填 充 (Offset pad) (可 选 ) 


图 13.12 L2TP 报 头 格式 


人 比特 表示 报 文 类 型 ,0 为 数据 报 文 ,1 为 控制 报 文 。L 比特 为 1 表示 长 度 字段 有 效 。 
保留 的 x 比特 均 置 0。S 比特 为 1 表示 Ns 和 Nr 序号 有 效 。O 比特 为 1 表示 偏 移 量 大 小 字 
段 有 效 , 在 控制 报 文中 O 比特 应 置 0。P 比特 置 1 表示 优先 处 理 报 文 。 隧 道 标识 用 于 表示 
控制 连接 ,而 会 话 标识 指示 隧道 内 的 一 个 会 

L2TP 控制 报 文 的 类 型 与 PPTP 类 似 。 


13.3.3 IPsec 


安全 IP(Secure IP,IPSec) 是 IP 的 一 个 子 层 (RFC 2401 一 2411) ,可 以 看 做 IP 的 安全 补 
丁 , 或 称 为 3. 5 层 协 议 , 用 于 VPN 安全 互 连 。 

IPSec 分 为 两 个 部 分 。 

(1) 鉴别 报头 (Authentication Header,AH)。AH 为 IP 报 文 提 供 数据 完整 性 保障 和 源 
站 鉴别 功能 ,但 不 提供 数据 保密 功能 。AH 报头 由 目的 站 进行 解析 和 处 理 ,例如 可 通过 数字 
摘要 检查 报 文 完整 性 。AH 报 文 数据 结构 如 图 13. 13 所 示 。 

(2) 安全 封装 (Encapsulating Security Payload, ESP)。ESP 提供 数据 加 密 、 源 站 鉴别 
和 数据 完整 性 保障 功能 。ESP 将 需要 保密 的 用 户 数据 和 ESP 尾部 一 起 进行 加 密 后 ,再 封装 
到 一 个 新 的 IP 报 文中 (如 图 13. 14 所 示 )。AH 中 的 next-header 字段 被 移 到 ESP 尾部 , 防 
止 攻 击 者 了 解 TCP/UDP 协议 类 型 。 

AH 或 ESP 首先 建立 安全 关联 (Security Association .SA)。SA 是 一 个 单 向 的 逻辑 连 
接 , 包 括 标识 符 ( 即 SPI 值 ) .目的 IP 地址 和 安全 协议 类 型 (AH/ESP)3 个 要 素 。SA 将 决定 
安全 策略 ,指定 加 密 算法 和 认证 算法 。 

AH 和 ESP 均 有 两 种 协议 封装 模式 (如 图 13. 15 所 示 )。 

(1) 传输 模式 (transport mode) : 不 改变 IP 报头 ,插入 一 个 AH/ESP。 
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next payload 
/| header, 1 length aed BL 


”security parameter index ee 
7 二 (SPD | 


、Sequence number 


-一 = 报 文 序号 


本 
yload 


32b Pay 原 数据 报 文 
(authentication data) 一 广 的 数字 : 
\ length cariable) 的 数字 摘要 


next header 


1 (TCP/UDP 报 头 ) 1 


图 13.13 AH 报头 格式 


进行 鉴别 的 部 分 
| 一 一 进行 加 密 的 部 分 
新 IP 报 头 TCP/UDP 报 文 ESP 
(协议 =50) 报关 ( 原 IP 报 文 的 数据 部 分 ) | 尾部 此 别 数 所 


图 13.14 ”ESP 报头 结构 


IPSec 传输 模式 
原 IP 报 头 | AH/ESP | TCP/UDP 报 头 数据 
< 
IPSec 隧道 模式 原 IP 报 文 数据 或 加 密 数据 
新 报头 | AH/ESP | 原 IP 报 头 | TCP/UDP 报 头 数据 


原 IP 报 文 或 加 密 报 文 
图 13.15 IPSec 协议 封装 模式 


(2) 隧道 模式 (tunnel mode): 生成 一 个 新 的 IP 报头 ,把 AH/ESP 和 原来 的 整个 IP 报 
文 (或 加 密 报 文 ) 放 到 新 IP 报 文 的 载荷 数据 中 。 


13.3.4 SSL 协议 


安全 套 接 字 层 (Secure Socket Layer,SSL) 协 议 (RFC 2246) 用 于 在 Internet 上 进行 保 
密 的 .可 信 的 通信 ,是 TCP 之 上 的 运输 层 子 层 (也 可 视 为 应 用 层 的 子 层 ) ,IETF 称 为 TLS 
(Transport Layer Security) ,其 最 新 版 本 是 RFC 5246( 版 本 1.2)。SSL 已 取代 应 用 层 的 
SHTTR( 安 全 HTTP)。 

SSL 提供 三 大 网 络 安 全 功能 。 


(1) SSL 服务 器 鉴别 : 浏览 器 采用 合法 可 信 的 CA 数字 证 书 及 其 包含 的 公 钥 ,通过 SSL 
对 服务 器 身份 进行 CA 证 书 鉴别 。 

(2) 加 密 SSL 会 话 : 生成 并 安全 交换 会 话 密 钥 ,会 话 数据 由 发 送 方 加 密 , 接 收 方 解 密 ， 
防止 信息 泄露 。 使 用 RC4 流 式 加 密 算 法 ,会 话 密 钥 长 度 为 40b。 
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(3) SSL 用 户 鉴 别 : 服务 器 也 可 以 采用 数字 证 书 鉴别 用 户 的 身份 。 

SSL 协议 的 优势 在 于 与 应 用 层 协议 独立 无 关 性 。 应 用 层 协议 (HTTP、FTP、Telnet 等 ) 
都 能 透明 地 运行 于 SSL 协议 之 上 。SSL 协议 简要 工作 方式 如 下 。 

(1) 客户 端 发 送 Client-Hello 消息 ,说 明 支 持 的 密码 算法 列表 、 压 缩 方法 及 最 高 协议 版 
本 ,并 发 送 稍 后 使 用 的 随机 数 。 

(2) 客户 端 收 到 服务 器 发 送 的 Server-Hello 消息 ,包含 服务 器 从 Client-Hello 消息 中 选 

(3) 协商 完毕 连接 参数 后 ,客户 端 与 服务 器 交换 数字 证 书 ( 依 靠 被 选择 的 公 钥 系统 )。 
数字 证 书 通常 基于 X. 509 标准 ,也 可 支持 以 OpenPGP 标准 为 基础 的 证 书 。 

(4) 服务 器 请 求 客户 端 公 钥 。 客 户 端 车 有 证 书 可 作 双 向 身份 认证 ,车 无 证 书 则 随机 生 


(5) 客户 端 与 服务 器 使 用 随机 数 通 过 公 钥 加 密 技 术 安 全 地 协商 私 钥 ,或 利用 Diffie- 
Hellman 算法 安全 生成 和 分 发 私 钥 。 所 有 关键 数据 的 加 密 均 使 用 该 私 钥 。 

数据 传输 过 程 中 ,记录 层 (record layer) 用 于 封装 高 层 的 HTTP 等 协议 。 记 录 层 数据 可 
以 与 消息 验证 码 一 起 被 压缩 加 密 。 每 个 记录 层 报 文 都 有 一 个 content-type 字段 用 以 标识 
上 层 的 协议 。 

SSL 的 最 常见 的 应 用 是 支持 HTTP over SSL, 即 以 HTTPs 方式 浏览 Web 安全 网 页 
(工作 流程 如 图 13. 16 所 示 ) ,例如 网 站 的 认证 页 面 或 电子 商务 .金融 支付 型 网 站 的 网 页 。 此 
外 ,SSL 还 可 应 用 于 IMAP 安全 邮件 ,构建 SSI-VPN 等 业务 。 

在 HTTPs 安全 访问 中 ,采用 不 同 于 HTTP 默认 的 80 端口 ,而 是 采用 专用 端口 号 443 。 


让 记 关 服务 由 
we 人 (Web 服 务 器 ) 
心 列表 : ~ CA 数字 证 
罗 上 加 浏览 各 SST 版 本 可 -加 密 算 法 选择 a 
SA2 公 组 号 SS 号 、 加 密 算法 选择 、 = 人 7 
AH 人 多 i 器 数字 证 : 包含 服务 器 的 RSA 公 钥 ， 
SD PE 用 CA 的 和 铀 加 包 
的 |- - -如 不 能 鉴别 ,拒绝 并 终止 | 
服务 器 证 书 和 RSA 人 钥 | 7777------ wal | 
区 要 本 语 性 -十 @@ 公 钥 加 密 的 对 称 密 钥 (会 话 密 钥 ) | 
| @@ 将 用 此 密 钼 加 密 , 完 成 所 扩 “上 -一 - 
1 
加 将 用 此 密 钥 加 密 ,完成 握手 二 会 话 密 铀 
1 
1 | 1 
1 
LL _ 会 话 加 密 _ 一 上 双方 SSL 会 话 _ 会 话 加 窗 _ 1 
三 二 


图 13.16 使 用 SSL 浏览 安全 网 页 工作 流程 
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13.4 WLAN 安全 


13.4.1 WEP 协议 


有 线 等 效 保密 (Wired Equivalent Privacy, WEP) 协 议 用 于 WLAN 无 线 终端 接 入 认证 
和 数据 加 密 , 以 防止 非法 用 户 窃听 或 侵入 无 线 网 络 。 

WEP 是 IEEE 802. 11 标准 的 一 部 分 ,使 用 密 钥 长 度 可 变 的 RC4 流 式 对 称 加 密 技 术 实 
现 保密 性 ,并 使 用 CRC-32 校 验 技术 保障 信息 的 完整 性 。 

WEP 采用 两 种 安全 认证 方式 : 开放 系统 认证 (open system authentication) 和 共享 密 钥 
认证 (shared key authentication) 。 签 证 使 用 开放 型 的 认证 方式 ,只 要 输入 密码 ,经 验证 正确 
即 可 获得 通过 。 后 者 采用 以 下 四 个 步骤 进行 验证 。 

(1) 接 和 终端 向 接 人 点 (AP) 发 送 认证 请 求 。 

(2) AP 回复 一 个 明文 消息 。 

(3) 接 和 人 终端 用 密 钥 (设置 的 字符 串 或 十 六 进 制 数值 串 ) 对 明文 加 密 , 再 次 向 接 人 点 发 
送 认 证 请 求 。 

(4) 接 人 点 采用 相同 密 钥 对 加 密 数据 进行 解密 ,比较 明文 消息 是 否 一 致 ,并 决定 是 否 接 
受 请 求 。 

由 于 WEP 在 密 铀 和 认证 方面 存在 安全 性 上 的 不 足 , 容 易 受 到 攻击 ,2003 年 被 WPA 协 
议 所 取代 。 


13.4.2 WPA 协议 


无 线 局 域 网 保护 接 入 (Wi-Fi Protected Access, WPA) 协 议 的 作用 与 WEP 类 似 ,是 对 
WEP 安全 技术 的 改进 。2004 年 形成 IEEE 802. 11i 标准 (又 称 为 WPA2)。 

WPA 的 数据 加 密 采 用 临时 密 钥 完整 性 协议 (Temporary Key Integrity Protocol, TKIP) 或 
AES(Advanced Encryption Standard) 对 称 加 密 算法 ,认证 有 两 种 模式 可 供 选 择 ; 一 种 是 采 
用 IEEE 802. 1x 认证 框架 和 可 扩展 认证 协议 (Extensible Authentication Protocol, EAP) 的 
企业 安全 模式 , 另 一 种 是 称 为 预 共 享 密 钥 (Pre-Shared Key, PSK) 方 式 的 个 人 安全 模式 ,用 
于 不 需要 设置 认证 服务 器 的 家 用 或 小 型 办 公 网 络 。 

TKIP 仍然 采用 WEP 所 用 的 RC4 加 密 算法 ,但 加 强 了 密 钥 的 安全 强度 。TKIP 的 密 钥 
更 长 , 达 128b, 而 且 是 动态 变化 的 , 即 每 个 数据 报 文 使 用 不 同 的 密 钥 。 其 基本 原理 是 : 通过 
认证 服务 器 或 手工 输入 一 个 临时 密 钥 用 于 会 话 ,将 临时 密 钥 与 每 个 站 点 的 MAC 地 址 进行 
混合 ,再 加 上 TKIP 序列 计数 器 值 .48b 初始 化 向 量 , 产 生 RC4 所 用 的 加 密 密 钥 。 

IEEE 802. 1x 认证 则 更 为 严格 ,需要 配置 专门 的 认证 服务 器 ,运行 RADIUS 或 
Kerberos 协议 ,提供 集中 式 安全 认证 和 接 入 控制 。 


13.4.3 WAPI 协议 


无 线 局 域 网 鉴别 和 保密 基础 设施 (Wireless-LAN Authentication and Privacy Infrastructure， 
WAPD 是 2006 年 由 中 国 制 定 的 无 线 局 域 网 安全 强制 性 标准 (GB 15629. 1101 一 1104) , 现 已 
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获得 国际 标准 化 机 构 的 认可 ,与 WEP、WPA 等 并 列 为 WLAN 的 安全 保护 技术 。 

基于 WAPI 协议 的 WLAN 安全 网 络 由 无 线 终端 .AP 和 认证 服务 器 (AS) 三 个 实体 组 
成 ,运用 公开 密码 体系 完成 终端 和 AP 间 的 双向 认证 ,认证 过 程 中 采用 椭圆 曲线 加 密 算 法 
(ECC,192b 密 钥 ), 并 协商 生成 会 话 密 钥 : 通信 过 程 中 的 数据 加 密 采 用 国家 密码 主管 部 门 
指定 的 对 称 密 钥 加 密 算法 (如 128b 密 钥 的 SMS4) 。WAPI 支持 在 通信 一 定时 间 间 隔 或 传 
输 一 定数 量 的 数据 包 后 ,更 新 会 话 密 钥 。 

WAPI 主要 包括 以 下 两 个 方面 。 

(1) 无 线 局 域 网 认证 基础 设施 (WATD) 不 仅 具 有 更 加 安全 的 鉴别 机 制 、 更 加 灵活 的 密 钥 
管理 技术 ,而 且 实 现 了 整个 基础 网 络 的 集中 用 户 管理 ,从 而 能 够 满足 更 多 用 户 和 更 复杂 的 安 
全 性 要 求 。 

(2) 无 线 局 域 网 保密 基础 设施 (WPI) 对 MAC 子 层 的 MPDU 进行 加 解密 处 理 ,分 别 用 
于 WLAN 设备 的 数字 证 书 、 密 钥 协 商 和 传输 数据 的 加 解密 ,从 而 实现 设备 的 身份 鉴别 、 链 
路 验证 ,访问 控制 和 用 户 信息 在 无 线 传输 状态 下 的 加 密 保护 。 
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14.1 网 络 安全 威胁 原理 


随 着 Internet 应 用 越 来 越 普及 、 网 络 资源 越 来 越 丰富 ,网 络 安全 问题 也 
日 益 突 出 。 然 而 ,我 们 应 该 清醒 地 认识 到 ,网 络 安全 威胁 并 非 刚 刚才 有 ,而 是 
长 期 以 来 一 直 存 在 的 。 从 来 就 没有 绝对 安全 的 网 络 , 今 后 也 不 会 有 。 因 为 只 
要 信息 在 网 络 上 流动 ,就 有 可 能 被 窃取 、 自 改 和 伪造 ; 只 要 计算 机 连接 在 网 络 
上 ,就 有 可 能 被 攻击 .盗用 、 宕 视 和 毁坏 ; 只 要 数据 和 内 容 是 有 价值 的 ,就 有 可 
能 被 人 密 饥 ,不 知 不 觉 中 唱 遇 黑手 ; 只 要 系统 有 一 丝 漏洞 ,就 有 可 能 被 人 侵 者 
利用 ; 只 要 网 络 用 户 心 存 一 丝 侥幸 或 偶尔 朴 忽 ,就 有 可 能 酿 成 大 灾难 。 

指望 网 络 越 来 越 安 全 是 不 现实 的 。 或 许 现实 世界 也 是 如 此 。 既 然 人 无 
法 生活 在 真空 中 , 那 就 只 有 在 弥漫 着 病菌 的 空气 中 想 办 法 健康 生活 ,比如 增 
强 免 疫 力 ,接种 疫苗 等 。 网 络 安全 防范 技术 正 是 为 网 络 与 信息 系统 构筑 的 安 
全 屏障 。 

但 是 ,倘若 为 了 安全 而 安全 ,就 偏离 了 网 络 原本 的 目的 。 网 络 是 为 人 类 
的 沟通 ,交流 共享、 合作 服务 的 ,是 工作 学习, 生活 的 工具 。 所 以 ,不 能 为 了 
安全 而 拖累 网 络 的 通畅 ,牺牲 网 络 的 效率 、. 丧 失 网 络 的 便捷 ,更 不 能 为 了 所 谓 
的 安全 对 网 络 应 用 敬而远之 。 

面 对 危 机 四 伏 的 Internet, 应 该 辩证 地 看 待 网 络 与 信息 安全 问题 。 

首先 应 当 承 认 并 直面 网 络 安全 威胁 的 客观 存在 ,而 不 是 去 否认 或 回避 。 
其 次 应 当 使 用 有 效 的 手段 来 防范 安全 威胁 ,保护 网 络 与 信息 系统 安全 。 

安全 威胁 与 防范 是 一 对 共 依 共存 的 矛盾 体 。 矛 尖 还 是 盾 坚 、 魔 强 还 是 道 
高 是 永恒 的 话题 。 系 统 的 安全 性 总 是 相对 而 言 的 : 在 时 间 、 范 围 和 程度 上 。 
网 络 系统 在 明 处 ,攻击 者 在 暗 处 , 明 枪 易 躲 , 暗 箭 难 防 ,因此 ,保持 持续 的 警惕 
性 ` 具 备 充 分 的 危机 意识 是 十 分 必要 的 。 

网 络 安全 无 小 事 。 一 些 不 起 眼 的 小 习惯 .小 失误 .小 细节 ,对 信息 安全 而 
言 都 可 能 是 引发 大 事故 的 导 火 索 。 网 络 系统 是 为 人 类 服务 的 ,两 者 是 一 个 整 
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体 。 如 果 使 用 者 随意 马虎 ,那么 纵然 有 网 络 安全 的 铜墙铁壁 也 将 是 形同虚设 。 

网 络 安全 防范 是 一 项 长 期 ,艰巨 的 任务 ,需要 良好 的 技术 与 不 懈 的 努力 。 但 安全 防范 系 
统 的 投入 通常 较 高 ,运行 维护 工作 量 也 较 大 ,因此 ,应 该 全 面 而 深入 地 研究 网 络 安全 技术 , 知 
己 知 彼 , 才 能 有 的 放 矢 地 部 署 安 全 技术 ,寻找 攻守 平衡 点 ,把 握 系统 关键 之 所 在 ,使 技术 发 挥 
最 大 的 效益 。 

如 图 14. 1 所 示 , 网 络 安全 威胁 来 自 计 算 机 网 络 体系 的 各 个 方面 .各 个 层次 、 各 个 环节 ， 
是 立体 的 ,全 方位 的 ,无 处 不 在 的 。 只 有 充分 了 解 网 络 安全 威胁 的 类 型 .原理 .方法 工具、 来 
源 、 条 件 、 特 点 等 具体 情况 ,才能 进一步 实施 有 效 的 防御 工作 。 但 网 络 安全 威胁 技术 繁多 ,而 
且 一 直 在 变化 发 展 中 ,无 法 完全 遍历 ,但 是 ,可 以 从 已 知 的 网 络 安全 威胁 技术 中 研究 其 本 质 
的 ,共性 的 技术 ,从 而 对 已 有 的 安全 威胁 有 比较 全 面 的 把 握 ,对 未 来 未 知 的 安全 威胁 也 能 起 
到 举一反三 的 认识 作用 。 


开放 系统 计算 机 
协议 栈 操作 系统 
0 J 
口 邻 破译, Web 陷阱 ，| 组 
战 
E- uk 弹 ， a 争 站 问 络 芋 连 
;| 揪 江 中 继 系统 

Tp 7 ~ 身份 伪造 ,破译 ， 


中 间 人 攻击 ,后 门 ， 
虚假 信息 发 布 ， 
电子 邮件 炸弹 


端口 镜像 ， 
路 由 欺骗 ， 
黑洞 攻击 


广播 风暴 ARP 改 千 痪 探 


蠕虫 攻击 ,DDoS 攻 击 ， 


共性 网 络 监 
和 病毒 传播 ,基础 设施 毁 还 


信道 破坏 ， Wy 


三 二 


内 部 网 络 


图 14.1 网 络 安全 威胁 方位 


我 们 常 把 网 络 安全 攻击 者 称 为 黑客 (hacker) ,但 黑客 原意 指 醉心 电脑 技术 的 高 手 , 并 非 
贬义 词 ,对 恶意 人 侵 者 实际 上 有 一 个 专门 的 名 词 叫 骇 客 (cracker) 。 


14.2 ”网络 攻击 基本 技术 


14.2.1 通信 监听 


窃听 的 历史 大 概 与 人 类 同龄 。 在 计算 机 网 络 领域 ,获取 通信 数据 并 对 内 容 和 协议 加 以 
分 析 , 可 以 直接 或 间接 地 掌握 各 种 信息 ,因此 通信 监听 是 网 络 安全 攻击 的 一 项 基本 技术 。 

一 些 专 用 的 协议 分 析 设备 ,不 但 能 够 抓 取 并 记录 完整 的 通信 过 程 , 而 且 可 以 根据 协议 还 
原 出 信息 内 容 。 例 如 ,明文 传输 的 用 户 名 和 口令 ; 用 FTP 下 载 的 文件 ; 用 SMTP 传输 的 电 
子 邮 件 等 。 

通信 监听 往往 是 各 种 安全 攻击 的 第 一 步 。 依 据 网 络 结构 ,技术 、 环 境 、 条 件 等 不 同情 况 
以 及 攻击 目的 的 差异 ,通信 监听 (也 称 旁 路 监听 ) 有 多 种 可 行 的 技术 方法 。 
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(1) 线路 插入 法 : 通过 T 型 接 插件 搭 线 等 手段 ,把 正常 通信 信道 上 的 信号 引出 ,使 监听 
设备 可 以 接收 到 通信 双方 的 所 有 数据 。 监 听 者 并 不 发 送 数据 ,所 以 通信 双方 无 法 感知 其 存 
在 ,具有 很 强 的 隐蔽 性 。 与 从 电线 上 偷 引 电力 、 从 管 路 盗窃 油气 等 不 同 ,信道 上 的 数据 并 不 
会 因为 监听 而 受 损 。 

(2) 共享 网 络 法 : 利用 共享 信道 网 络 的 特性 ,如 WLAN、Ethernet Hub 等 ,只 要 接 人 共 
享 域 就 可 以 侦 听 到 所 有 设备 的 通信 数据 。 尤 其 对 于 无 线 通信 ,监听 活动 可 以 做 到 神 不 知 鬼 
不 觉 。 

(3) 端口 镜像 法 : 支持 端口 镜像 (port mirror) 功 能 的 网 络 交换 机 、 路 由 器 可 将 一 个 或 多 
个 端口 的 通信 数据 复制 到 监听 端口 (可 为 虚拟 端口 )。 如 果 通 过 远程 登录 等 方式 控制 网 络 设 
备 启动 端口 镜像 , 即 可 实现 对 指定 设备 (端口 ) 的 监听 , 且 可 以 在 远程 悄然 接收 转发 过 来 的 
数据 。 

(4) 嵌入 程序 法 : 在 被 监听 对 象 系统 中 植 人 监听 程序 ,可 采集 用 户 键 盘 输入 .屏幕 显示 
内 容 及 通信 数据 ,利用 网 络 传 递 给 监听 者 。 潜 伏 的 程序 非常 隐蔽 ,不 像 线 路 插入 等 物理 方法 
那样 容易 被 察觉 。 但 是 ,如 何 戏 入 监听 程序 在 技术 上 有 相当 难度 。 

在 网 络 软件 系统 调试 .测试 中 ,程序 员 往 往 会 添加 一 些 特定 的 代码 ,用 于 监听 会 话 过 程 ， 
便于 定位 错误 。 如 果 这 类 代码 无 意 或 有 意 忘记 清除 , 则 可 能 成 为 用 于 窃听 的 后 门 。 

(5) 电磁 泄露 法 : 计算 机 与 网 络 运行 过 程 中 会 发 出 各 种 电磁 波 ( 电 磁 泄 露 ) ,采用 特殊 
的 监听 设备 可 以 接收 并 还 原 数 据 。 


14.2.2 漏洞 扫描 


安全 攻击 者 利用 专门 的 工具 对 网 络 与 信息 系统 进行 尝试 性 的 探测 ,寻找 可 攻击 的 弱点 、 
隐患 ,缺陷 , 称 为 漏洞 扫描 (vulnerability scanning)。 

漏洞 扫描 是 网 络 安全 攻击 的 前 奏 曲 之 一 。 攻 击 者 面 对 看 似 密 不 透风 的 网 络 体系 ,首先 
要 探寻 可 能 的 入手 点 ,然后 才能 进行 针对 性 的 攻击 。 

不 幸 的 是 , 绝 大 部 分 的 安全 漏洞 是 已 知 的 。 例 如 ,操作 系统 已 公布 的 缺陷 、 协 议 机 制 上 
的 缺陷 等 。 但 是 ,因为 专业 知识 ,重视 程度 .响应 周期 .技术 能 力 上 的 各 种 原因 ,用 户 并 不 了 
解 自身 安全 漏洞 .没有 及 时 弥补 安全 隐患 ,而 攻击 者 或 扫描 工具 则 对 各 种 安全 弱点 掌握 得 很 
全 面 , 从 而 存在 信息 不 对 称 和 操作 时 间 差 。 如 果 漏 洞 恰好 被 捕捉 到 ,那么 被 攻击 的 厄运 就 在 
所 难免 了 。 

漏洞 扫描 的 基本 原理 是 试探 询问 、 分 析 响 应 。 例 如 ,不 同 的 操作 系统 (或 操作 系统 不 同 
版 本 ) 在 实现 某 些 协议 时 稍 有 差异 ,对 一 些 异 常 报 文 , 有 的 处 理 方式 是 了 予以 丢弃 ,有 的 则 回复 
拒绝 报 文 ,有 的 发 送 断 链 报 文 。 因 此 ,通过 发 送 特别 设计 的 报 文 , 根 据 系统 的 不 同 反应 ,可 以 
判别 系统 类 型 或 其 版 本 ,进而 利用 已 知 的 安全 漏洞 。 

漏洞 扫描 的 主要 方式 有 以 下 几 种 。 

(1) 扫描 网 络 互 连 设 备 ,特别 是 安装 在 内 部 网 络 计算 机 上 的 电话 网 调制 解 调 器 ,可 以 直 
达 内 网 纵深 处 。 这 一 探测 所 有 可 能 存在 的 接 入 点 的 方法 被 形象 地 称 为 战争 拨号 。 

(2) 端口 扫描 (port scanning) 用 于 了 解 网 络 体系 开放 的 TCP/UDP 端口 ,以 便 了 解 其 
安装 的 应 用 种 类 ,或 使 用 某 些 端口 号 实施 攻击 。 

(3) 实施 网 络 体系 结构 的 探测 可 掌握 内 部 网 络 的 规模 、IP 地 址 分 配 情况 、 设 备 分 布 ( 尤 
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其 是 服务 器 分 布 ) 、 子 网 划分 ,安全 措施 等 ,确定 攻击 范围 和 目标 。 
(4) 操作 系统 漏洞 检测 可 使 攻击 者 利用 用 户 尚 未 对 操作 系统 公布 的 漏洞 打 补 丁 的 真空 
期 实施 精确 攻击 。 


14.2.3 口令 破解 


口令 是 绝 大 部 分 信息 系统 的 第 一 道 安全 防护 措施 ,事实 上 ,甚至 是 许多 系统 的 唯一 认证 
手段 ,例如 操作 系统 .电子 邮件 .无线 基站 、 信 用 卡 等 。 简 单 的 口令 背后 隐藏 的 是 资源 、 隐 私 
或 财富 ,难怪 网 络 和 人 侵 者 对 破解 口令 趋 之 若 登 ,因为 只 需 突破 这 一 项 保护 ,系统 就 会 门户 
pa 

口令 破解 是 安全 攻击 最 基本 、 最 常用 的 技术 。 

(1) 监听 法 : 使 用 通信 监听 工具 侦 听 合法 用 户 与 服务 器 的 通信 过 程 ,尤其 是 登录 过 程 ， 
通过 分 析 获 取 用 户 名 ,口令 等 重要 信息 。 

(2) 重 放 法 : 对 于 非 一 次 性 口令 登录 机 制 ,攻击 者 不 需要 破译 获取 的 加 密 口 令 , 只 需 将 
记录 下 来 的 加 密 口令 直接 发 送 , 即 重 放 (playback) ,就 可 实现 登录 。 

(3) 陷阱 法 : 攻击 者 模拟 合法 服务 端 (如 网 站 ) ,骗取 用 户 登录 ,以 获取 用 户 账号 和 口令 
等 重要 信息 。 陷 阱 法 适合 非 指 定 目标 用 户 的 攻击 ,可 能 批量 获取 大 量 账户 信息 。 这 一 方法 
与 其 他 手段 结合 后 攻击 性 更 强 , 如 : 算 改 网 页 合法 URL、 通 过 病毒 修改 用 户 计 算 机 hostid 
文件 (静态 域名 解析 列表 ) 等 。 陷 阱 不 限于 在 网 络 上 ,例如 通过 开设 店铺 资 取 刷卡 客户 的 信 
用 卡 账号 信息 。 

(4) 猜测 法 : 许多 用 户 从 不 修改 千篇一律 的 初始 口令 ,也 有 大 量 用 户 采 用 不 安全 的 口 
令 ,容易 给 口令 猜测 者 造成 可 乘 之 机 。 空 口令 .与 用 户 名 相同 的 口令 .1111.123456 .asdf 日 
期 等 都 是 口令 猜测 者 首先 会 去 尝试 的 ,而 且 具 有 相当 高 的 命中 率 。 

思考 : 6 位 或 8 位 数字 的 口令 ,假如 设 为 生日 , 试 计 算 猜 中 概率 。 

(5) 字典 法 。 口 令 字典 (又 称 黑客 字典 ) 是 一 个 用 各 种 常用 单词 词组 组 成 的 列表 ,数量 
大 大 地 小 于 随机 组 合 的 n* 或 n*”( 设 口令 长 度 为 n) ,而 且 便 于 软件 实现 自动 的 依次 尝试 。 
字典 法 的 原理 是 基于 揣测 用 户 心理 和 习惯 ,因为 绝 大 部 分 用 户 不 会 去 使 用 毫 无 意义 的 字母 、 
数字 的 组 合 。 

思考 : 服务 器 可 以 采用 何 种 手段 应 对 字典 法 猜测 口令 ? 

(6) 逆向 法 : 利用 某 些 系统 的 特性 ,不 采取 直接 破译 口令 的 办 法 ,而 是 用 一 个 简单 的 口 
令 尝 试 账号 的 组 合 。 在 用 户 数量 较 大 的 情况 下 ,命中 率 很 高 ,适合 于 非特 定 目标 用 户 的 攻 
击 。 例 如 ,在 大 型 电子 邮件 系统 中 ,通过 简单 的 用 户 名 字母 组 合 , 总 能 找到 一 批 用 户 的 口令 
是 888888。 

(7) 穷 举 法 。 穷 举 法 (或 称 为 暴力 破解 ) 是 口令 破解 者 迫不得已 在 技术 上 所 用 的 最 后 一 
招 ,逐一 尝试 用 户口 令 的 所 有 组 合 ,虽然 是 最 为 简单 粗暴 的 办 法 ,但 只 需 假 以 时 日 ,必然 能 实 
现 破解 。 

思考 : 登录 系统 可 采取 什么 针对 性 措施 对 抗 穷 举 破解 法 ? 

(8) 间接 法 : 用 户 账户 的 盗 取 者 采用 迁 回 策略 ,以 达到 与 获取 口令 效果 相同 的 目的 。 
例如 ,通过 普通 账号 获取 更 高 权限 账号 (如 溢出 攻击 ); 通过 了 解 某 些 编程 人 员 有 意 或 无 意 
设置 的 软件 后 门 (如 万 能 口令 ) 来 突破 ; 通过 破解 系统 中 安全 防范 薄弱 的 计算 机 再 转移 到 真 
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正 的 攻击 目标 。 

(9) 物理 法 。 物 理 法 是 指 采用 现实 世界 的 犯罪 手法 获取 口令 ,例如 ,潜入 办 公 室 用 内 部 
网 络 终端 窃取 信息 (内 部 防范 往往 较为 松懈 )、 盗 走 保存 账户 信息 的 磁盘 .贿赂 管理 员 以 获得 
用 户 信息 、 绑 架 用 户 逼迫 其 说 出 口令 .从 黑市 购买 账号 等 。 

思考 : 如 何 设计 灵活 、 安 全 、 易 记 的 口令 ? 


14.3 恶意 代码 攻击 


14.3.1 病毒 


自然 界 的 病毒 细菌、 寄生 虫 对 人 类 等 各 种 生物 的 健康 造成 很 大 危害 ,有 些 危 害 具 有 长 
期 的 潜伏 性 ,非常 隐蔽 ,有 些 危害 甚至 直接 造成 生命 的 终结 。 计 算 机 和 网 络 中 类 似 病毒 感染 
宿主 并 进行 攻击 的 现象 同样 存在 ,同样 危害 巨大 。Internet 的 普及 使 感染 攻击 的 波及 范围 
更 大 .传播 速度 更 快 .变化 种 类 更 多 。 

病毒 (virus) 是 一 种 恶意 代码 (malware) ,是 计算 机 网 络 的 毒瘤 。 病 毒 的 历史 可 以 追 淹 
到 计算 机 单机 时 代 。 

病毒 是 一 种 特殊 的 、 精 巧 的 计算 机 程序 ,具有 如 下 特点 。 

(1) 寄生 性 。 病 毒 程序 并 不 单独 存在 ,而 是 附着 在 其 他 软件 上 。 通 过 修改 宿主 程序 原 
有 的 运行 流程 ,强行 附加 病毒 代码 ,达到 运行 自身 的 目的 。 

(2) 复制 性 。 病 毒 程序 的 重要 目的 和 能 力 是 复制 自身 ,就 像 现实 世界 的 生物 病毒 一 样 ， 
千方百计 地 让 自身 副本 越 来 越 多 。 

(3) 感染 性 。 病 毒 不 断 检查 指定 类 别 的 文件 ,特别 是 可 执行 文件 (. com、 exe 等 ) ,一旦 
发 现 对 象 是 干净 的 ,立即 实施 感染 。 

(4) 破坏 性 。 病 毒 都 会 对 计算 机 和 网 络 系统 造成 不 同 程度 的 损害 。 

病毒 的 危害 性 在 于 浪费 存储 空间 .干扰 正常 运行 消耗 计算 能 力 、 降 低 程序 效率 ,严重 时 
将 引起 数据 丢失 ,文件 毁坏 、 服 务 中 止 和 系统 崩溃 。 为 了 防范 病毒 的 投入 更 是 一 笔 巨大 的 开 
销 , 也 因此 增加 了 系统 的 复杂 性 和 维护 难度 。 

从 病毒 存在 的 特性 和 状态 来 区 分 ,有 以 下 类 别 。 

(1) 在 野 病 毒 (活跃 病毒 ) : 仍然 在 传播 并 感染 用 户 的 病毒 。 如 果 被 记载 但 不 再 传播 的 
病毒 ,相应 称 为 非 活 跃 病 毒 (not in the wild) 。 

(2) 实验 室 病毒 (动物 园 病毒 ) : 病毒 存在 于 可 控 环 境 , 不 会 传播 到 外 界 。 

(3) 同伴 病毒 : 病毒 对 目标 程序 进行 重 命名 ,而 自己 使 用 目标 程序 的 名 称 , 当 目标 程序 
被 执行 时 ,病毒 得 到 运行 。 

(4) 空 腔 (cavity) 病 毒 : 病毒 把 自己 隐藏 在 充满 大 量 数据 0 的 宿主 程序 中 ,不 增加 原 程 
序 大 小 .不 破坏 原 程序 代码 ,难以 被 发 现 。 

(5) 隧道 (tunnel) 病 毒 : 病毒 通过 在 操作 系统 中 寻找 中 断 处 理 程序 (免检 内 核 区 ) ,将 自 
身 安装 在 防 病毒 软件 后 面 ,逃避 监测 。 

(6) 直接 行动 病毒 (非常 驻 病 毒 ): 每 次 宿主 程序 被 执行 时 ,病毒 只 感染 一 个 或 多 个 程 
序 , 而 非 尽 可 能 多 的 文件 ,使 用 户 不 易 察觉 异常 。 
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(7) 内 存 (RAM) 病 毒 : 当 被 感染 程序 运行 时 ,病毒 将 自身 单独 转移 到 内 存 中 (不 会 随 宿 
主 程序 停止 运行 ) ,可 持续 感染 其 他 被 执行 程序 。 

(8) 隐秘 型 病毒 : 病毒 使 用 各 种 手段 隐藏 自身 踪迹 。 

(9) 潜伏 病毒 : 病毒 隐藏 在 系统 中 ,直到 满足 某 些 条 件 才 激活 并 爆发 。 

(10) 多 态 病 毒 : 病毒 经 常 改变 外 形 , 每 次 复制 时 都 改变 配置 。 每 个 副本 都 是 原来 病毒 
的 一 个 变 体 。 工 作 原 理 相 似 , 但 代码 标记 各 不 相同 ,难以 通过 特征 代码 来 检测 。 病 毒 还 使 用 
各 种 加 密 、 压 缩 方法 来 逃避 检查 。 

如 果 按 病毒 感染 的 不 同 对 象 类 型 来 区 分 ,有 引导 扇 区 病毒 ,文件 感染 病毒 .DOS 病毒 、 
Windows 病毒 、 宏 (macro) 病 毒 、 和 脚本 (script) 病 毒 、Java 病毒 (病毒 因此 具备 了 路 操作 系统 
运行 能 力 )、Shockwave 病毒 (flash 病毒 ) ,复合 型 病毒 (混合 型 病毒 ) 等 。 


14.3.2 木马 


古 希 腊 特 洛 伊 木 马 (trojan horse) 的 传说 十 分 脸 炙 人 口 , 因 象征 着 智慧 、 狭 点 技巧. 勇 
气 ,想象 力 、 出 其 不 意 与 克 敌 制胜 而 载 入 史册. 千古 流传 。 而 Internet 上 的 特洛伊 木马 则 让 
这 个 传奇 蒙 着 ,是 邪恶 .阴险 .奸诈 的 代名词 。 

特洛伊 木马 (简称 木马 ) 技 术 原 理 及 所 起 的 作用 与 古老 的 木马 非常 相似 ,只 是 化 身 为 一 
种 间谍 程序 (spyware) ,属于 恶意 代码 类 型 之 一 。 木 马 的 特点 是 : 

(1) 利用 某 种 载体 (如 网 页 .电子 邮件 ) 侵 入 用 户 计 算 机 系统 ; 

(2) 隐蔽 性 地 驻 留 与 执行 ,平时 难以 察觉 ; 

(3) 通过 某 种 设 定 条 件 触发 激活 ,完成 指定 的 攻击 任务 。 

木马 通常 作为 攻击 过 程 的 一 个 环节 ,起 到 里 应 外 合 的 作用 ,因此 木马 也 属于 植 人 式 后 门 
(backdoor) 程 序 。 木 马 的 功能 可 分 为 监听 控制、 跳板、 破坏 等 。 

木马 分 为 客户 端 和 服务 端 两 个 部 分 ,其 中 客户 端 是 攻击 者 用 来 远程 控制 木马 的 系统 , 服 
务 端 (又 称 为 守护 进程 ) 即 是 木马 程序 。 被 植 人 木马 的 计算 机 即 成 为 倪 偶 机 、 僵 尸 机 (俗称 
肉 机 ) 。 

当 木 马 服务 端 程序 成 功 潜入 计算 机 ,并 通过 特定 的 启动 方式 运行 后 ,木马 程序 就 会 打开 
某 个 TCP/UDP 端口 ,在 该 端口 上 侦 听 是 否 有 连接 请 求 ,随时 等 待 客户 端 (攻击 程序 ) 的 远 
程控 制 命 令 。 对 客户 端 而 言 , 如 果 网 络 上 有 大 量 计算 机 被 “种 马 ”, 就 可 以 随时 发 号 施 令 , 可 
在 同一 时 间 调 动 千 军 万 马 ,对 网 络 实施 分 布 式 攻 击 ( 例 如 拒绝 服务 攻击 )。 

木马 隐蔽 性 很 强 , 比较 难以 发 现 ; 非常 具有 迷惑 性 ,发 现 后 难以 定位 ; 还 具有 相当 强 的 
项 固 性 ,即使 被 定位 也 很 难 彻底 清除 。 斩 草 却 不 能 除根 ,往往 让 人 望 马 兴叹 。 原 因 是 木马 采 
用 了 多 种 对 抗 清除 的 技巧 。 

(1) 木马 使 用 多 种 启动 方式 : 随 操作 系统 启动 、 随 文件 运行 启动 、 随 动态 链接 库 调用 启 
动 等 。 

(2) 木马 经 常 刻意 变换 文件 名 ,或 采用 与 操作 系统 核心 程序 非常 类 似 的 文件 名 ,借以 伪 
装 自 身 。 同 时 修改 文件 显示 和 访问 属性 ,伪装 图 标 , 混 迹 于 系统 内 核 程 序 中 。 

(3) 木马 驻 留 在 操作 系统 的 各 个 位 置 ,如 系统 文件 ,应 用 程序 、 注 册 表 、 启 动 项 、 服 务 
组 等 。 

(4) 木马 在 内 存 或 进程 表 中 也 隐蔽 得 很 深 ,一 般 权 限 的 用 户 使 用 常规 的 命令 甚至 无 法 
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发 现 该 进程 的 存在 。 

木马 需要 通过 一 定 的 方式 进入 系统 。 实 际 上 ,在 Internet 中 这 样 的 机 会 是 很 多 的 。 常 
见 的 有 随 E-mail 及 其 附件 传播 .附加 在 盗版 软件 中 、 诱 骗 用 户 下 载 软件 执行 等 。 与 病毒 不 
同 ,木马 是 以 独立 文件 形式 存在 的 。 为 麻 兽 用 户 , 木 马 总 是 伪装 成 HTML、TXT、ZIP、JPG 
等 文件 (修改 扩展 名 或 图 标 ) , 当 用 户 看 到 这 类 文件 时 ,很 容易 误 认为 一 般 的 文档 而 打开 ( 运 
行 )。 木 马 也 会 利用 某 些 操作 系 统 存在 的 漏洞 ,通过 Script、ActiveX 及 ASP .CGI 交互 脚本 
的 方式 植 和 人。 

木马 的 激活 方式 主要 有 两 种 : 攻击 程序 发 送 命 令 方 式 ; 四 满足 预先 设 定 的 某 个 条 件 
(如 日 期 或 时 间 、 窃 取 到 账号 和 口令 )。 

一 个 功能 强大 的 木马 一 旦 被 植 人 系统 ,攻击 者 就 可 以 像 操 作 自 己 的 机 器 一 样 远程 控制 
系统 ,自动 筛选 、 监 控 所 有 操作 。 例 如 “冰河 木马 ”( 端 口号 7626) ,可 以 实现 自动 跟踪 目标 机 
屏幕 变化 .完全 模拟 键盘 及 鼠标 输入 .记录 各 种 口令 .获取 系统 信息 、 限 制 系统 功能 .远程 文 
件 操作 ,注册 表 修 改 等 。 


14.3.3 蠕虫 


蠕虫 (worm) 是 一 种 在 Internet 上 传播 的 攻击 程序 ,是 恶意 代码 的 形式 之 一 。 蠕 虫 的 始 
作 俑 者 是 Robert Morris。1988 年 ,他 发 布 了 一 段 专门 攻击 UNIX 系统 缺陷 、 名 为 worm 的 
代码 , 故 名 。 该 程序 仅 区 区 99 行 , 却 拥有 巨大 能 量 。 程 序 用 finger 命令 搜索 联系 人 名 单 , 然 
后 用 E-mail 向 名 单 上 的 用 户 复制 ,传播 蠕虫 本 身 。 据 统计 ,在 短 短 数 小 时 内 ,使 当时 
Internet 上 的 6 万 一 8 万 台 计 算 机 的 10% 一 20% 隐 于 瘫痪 ,损失 惨重 。 

最 初 有 一 些 技术 人 员 探 讨 网 络 蠕虫 的 设计 ,设想 由 一 个 特殊 程序 在 计算 机 间 游 荡 , 当 发 
现 有 计算 机 负荷 过 重 时 ,该 程序 可 以 从 空闲 计算 机 借 取 资源 而 达到 系统 的 负载 平衡 。 莫 里 
斯 蠕虫 不 是 借 取 资源 ,而 是 耗 尽 资源 。 

蠕虫 有 别 于 病毒 ,但 可 看 做 一 种 特殊 的 病毒 。 两 者 都 是 通过 复制 自身 来 达到 传播 和 破 
坏 的 目的 ,但 普通 的 病毒 需要 宿主 来 寄生 ,而 蠕虫 则 是 在 网 络 上 独立 存在 和 运行 的 。 

一 个 被 蠕虫 感染 的 计算 机 系统 表现 出 的 行为 与 受到 木马 感染 的 系统 很 类 似 , 如 出 现 不 
寻常 读 写 磁盘 动作 、 运 行 缓慢 、 出 现 多 个 未 知 任务 、 配 置 文件 和 注册 表 被 修改 、E-mail 被 自 
动 发 送 等 。 

蠕虫 的 传播 方式 也 与 木马 采用 的 相同 : 通过 E-mail 附件 、 即 时 通信 客户 端 或 计算 机 用 
户 之 间 共 享 文件 、 安 装 不 明 来 源 文件 等 进入 系统 。 然 而 ,蠕虫 可 以 不 在 用 户 参 与 (用 户 不 知 
情 ) 下 自己 传播 。 例如 ,早期 版 本 的 E-mail 客户 端 软件 具有 自动 预览 功能 ,用 于 显示 附件 内 
容 方便 用 户 阅读 ,这 使 得 蠕虫 可 以 在 用 户 不 主动 干预 执行 的 情况 下 其 代码 也 能 被 激活 ,并立 
即 向 地 址 敌 中 所 有 用 户 发 送 包含 蠕虫 的 邮件 。 

由 于 蠕虫 具有 自发 获取 地 址 进行 发 送 的 功能 ,传播 力 非常 惊人 ,可 以 呈 指 数 型 进行 扩 
展 ,严重 消耗 网 络 带 宽 和 计算 资源 。 但 是 ,蠕虫 也 有 自身 的 弱点 ,一 旦 切断 蠕虫 的 网 络 传播 
途径 或 自动 运行 机 制 , 蠕 虫 就 会 销声匿迹 ,而 不 会 像 病毒 或 木马 一 样 驻 留 下 来 。 因 此 ,网络 
用 户 应 该 注意 甄别 收 到 的 信息 ,不 要 点 击 打 开 可 疑 邮 件 或 消息 ,就 能 有 效 阻 止 蠕虫 继续 
蔓延 。 
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网 络 与 信息 系统 是 由 各 种 软件 .硬件 设备 构成 的 复杂 的 综合 体 。 软 件 包 
括 操 作 系 统 、 数 据 库 系 统 、 应 用 系统 ,其 中 包含 各 层次 的 协议 机 、 各 类 服务 接 
口 等 。 硬 件 则 包括 计算 机 、 网 络 设备 、 通 信 媒 介 ( 信 道 ) 等 资源 。 构 成 系统 的 
每 一 个 组 件 、 每 一 个 接口 .每 一 个 环节 ,都 可 能 由 于 设计 上 或 实现 上 存在 的 漏 
洞 ,被 非法 利用 ,引发 相应 的 网 络 安全 攻击 。 

我 们 不 得 不 承认 ,许多 网 络 安全 攻击 技术 具有 极 高 的 技术 含量 ,算法 十 
分 巧妙 ,散发 着 智慧 的 光芒 。 可 惜 聪明 没有 用 在 正道 上 。 我 们 学 习 这 些 技 
术 , 当 然 不 是 为 了 效仿 恶 行 去 攻击 别人 ,而 是 可 以 加 深 对 网 络 和 信息 系统 的 
认识 ,并 且 了 解 自身 不 足 , 有 针对 性 地 加 以 弥补 和 完善 。 


15.1 缺陷 攻击 


15.1.1 拒绝 服务 攻击 


拒绝 服务 (Denial of Service, DoS) 攻 击 是 一 种 很 常见 ,也 很 特殊 的 网 络 
安全 攻击 类 型 。 实 施 拒 绝 服 务 攻击 时 ,攻击 者 不 必 事 先 获 得 对 系统 的 控制 
权 , 也 不 是 为 了 获取 系统 访问 权 , 其 目的 是 使 系统 或 网 络 过 载 , 使 之 无 法 继续 
提供 正常 服务 。 

DoS 攻击 可 分 为 两 种 不 同类 型 : 带宽 损耗 型 (bandwidth consumption) 
和 资源 匮乏 型 (resource starvation) 。 前 者 因 大 量 占用 系统 (例如 一 个 网 站 ) 
的 网 络 带 宽 , 导 致 受害 者 系统 无 法 向 其 客户 提供 正常 服务 ; 后 者 则 使 目标 服 
务 器 因 罕 机 或 没有 足够 资源 (如 内 存 ) 而 失去 网 络 服务 能 力 (无 法 正常 建立 连 
接 、 响 应 请 求 .传输 数据 等 ) 。 

Dos 攻击 是 攻击 者 系统 与 受害 者 系统 拼 资 源 、 拼 性 能 的 过 程 。 攻 击 者 如 
果 没 有 足够 带宽 和 计算 能 力 , 就 无 法 耗 尽 攻击 对 象 的 系统 资源 。 所 以 有 效 的 
DoS 攻击 一 般 采用 分 布 式 拒绝 服务 (Distributed DoS,DDoS) 方 法 , 即 在 同一 
时 间 调 用 大 量 不 同位 置 的 计算 机 向 同一 目标 实施 攻击 (如 图 15. 1 所 示 )。 为 
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此 ,DDoS 攻击 需要 召集 大 量 的 侧 偶 机 (puppet node) ,协助 攻击 行为 。 倪 偶 机 是 被 事先 植 人 
了 恶意 程序 (如 木马 ) 的 计算 机 ,平时 处 于 潜伏 状态 ,一 旦 需要 时 即 可 通过 一 定 方式 激活 , 受 


vant ee 
Ls 


<Ss 


攻击 者 /控制 主机 主 控 便 介 机 被 攻击 者 
(隐身 ) (可 省 略 ) 


攻击 便 偶 机 ( 群 ) 
图 15.1 DDoSs 攻击 原理 


DDoS 攻击 方法 很 多 ,可 分 为 三 种 技术 类 型 。 

(1) 利用 协议 漏洞 : Syn Flood、Smurf、Fake IP。 

(2) 利用 软件 缺陷 : Tear Drop、Ping of Death、Land、ICMP Fragment。 

(3) 进行 资源 比拼 : ICMP Flood、UDP Flood、E-mail Bomb。 

1. Syn Flood 攻击 

同步 洪水 (Syn Flood) 攻 击 也 称 为 TCP 同步 攻击 、 三 次 握手 攻击 、 半 连接 攻击 。 同 步 攻 
击 是 最 典型 的 DoS 攻击 手段 。 

同步 攻击 基于 TCP 建立 连接 所 用 的 三 次 握手 机 制 (如 图 15. 2 所 示 )。 攻 击 者 的 思路 就 
是 故意 缺少 第 三 步 的 ACK 回复 (图 中 的 阴影 部 分 ) ,使 被 叫 方 计算 机 的 连接 一 直 处 于 占用 
资源 的 等 待 状态 ,直到 计时 器 超时 释放 。 如 果 同 时 存在 大 量 的 半 连 接 , 计 算 机 就 会 耗 尽 系统 
资源 ,无 法 为 正常 业务 提供 服务 。 


下 层 协议 及 信道 | 会话 接受 方 
5 SYN 
故意 缺少 的 步骤 | 响应 SYN-ACK 
YN- 
\ NACK 分 配 资源 启动 计时 器 , 
下 ENTE | 同 二 二 天 进入 扶 起 (等 待 ) 状 态 
连接 建立 连接 建立 


图 15.2 同步 攻击 原理 


同步 攻击 发 起 者 会 使 用 不 同 的 IP 地 址 ,使 接收 方 难以 甄别 不 正常 的 流量 ; 大 量 的 SYN 
几乎 同时 从 佛 偶 机 群发 出 ,以便 在 连接 等 待 计时 器 超时 前 突破 系统 资源 上 限 ; 同步 攻击 还 
可 变化 为 Land 攻击 , 即 把 SYN 报 文 的 源 和 目的 IP 地 址 均 设置 为 被 攻击 者 的 IP 地址 ,使 之 
向 自己 回复 SYN-ACK 和 ACK 报 文 ,可 能 由 此 建立 起 自 环 的 空 连接 ,占用 更 长 时 间 和 更 多 
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资源 。 

2. Ping of Death 攻击 

死亡 回 显 (Ping of Death) 利 用 ICMP 服务 端 协议 机 实现 的 缺陷 实施 攻击 ,是 一 种 DoS 
攻击 的 方法 。 例 如 某 操作 系统 规定 ICMP 报 文 最 大 尺寸 不 超过 64KB, 却 不 进行 严格 检查 ， 
攻击 者 故意 发 送 超过 64KB 上 限 的 畸形 ping 报 文 (基于 ICMP 回 显 功能 ) ,主机 就 会 出 现 性 
质 严重 的 内 存 分 配 错误 ,导致 月 溃 、 死 机。 

向 目标 主机 长 时 间 .连续 性 ,大 批量 地 发 送 ICMP 报 文 ,也 可 能 致使 系统 瘫痪 。 大 量 的 
ICMP 报 文 形 成 ICMP 风暴 ,使 得 主机 耗费 大 量 的 计算 资源 ,疲于奔命 。 

如 图 15. 3 所 示 , 死 亡 回 显 的 一 种 变化 是 Smurf 攻击 : 向 一 个 拥有 大 量 主 机 的 内 部 子 网 
发 送 欺骗 性 的 ping 报 文 ,目的 IP 地 址 设 为 该 子 网 的 广播 地 址 (主机 号 全 1) ,而 源 卫 地 址 设 
为 子 网 内 被 攻击 主机 的 地 址 。 早 期 版 本 的 某 些 型 号 路 由 器 在 接收 到 该 ICMP 报 文 后 会 予以 
转发 ,结果 是 向 子 网 内 发 送 了 广播 报 文 ; 然后 所 有 主机 都 会 收 到 报 文 ,根据 协议 要 求 都 向 指 
定 的 目标 回复 报 文 ( 即 echo); 目标 主机 将 同时 收 到 大 量 ICMP 报 文 。 如 果子 网 规模 较 大 ， 
很 可 能 导致 目标 主机 失去 正常 服务 能 力 ,达到 DoS 攻击 的 目的 。 如 果 反 复 使 用 Smurf 攻 
击 , 还 可 能 使 子 网 因 广 播 风 暴 而 瘫痪 。 


攻击 目标 
(被 攻击 主机 ) 


图 15.3 ”Smurf 攻击 原理 


Fraggle 攻击 与 Smurf 类 似 ,区 别 是 使 用 UDP 的 echo 功能 。 

死亡 回 显 的 另 一 种 变化 是 UDP Flood 攻击 。 攻 击 者 随机 地 向 被 攻击 系统 的 端口 发 送 
UDP 数据 报 文 ,就 可 能 形成 UDP 洪水 淹没 式 攻击 。 当 目标 系统 接收 到 一 个 UDP 数据 报 
文 , 会 根据 目的 端口 号 试图 确定 正在 等 待 ( 侦 听 ) 中 的 应 用 程序 ,如 果 发 现 应 用 程序 并 不 存 
在 ,就 根据 报 文 中 源 IP 地 址 回复 一 个 ICMP 报 文 ,报告 “目的 地 址 无 法 连接 ”。 那 么 ,如 果 向 
目标 主机 的 随机 端口 不 断 发 送 随 机 端口 号 的 UDP 报 文 ,在 忙于 处 理 这 些 垃圾 数据 报 文 的 
过 程 中 ,主机 性 能 不 断 下 降 ,直到 不 能 提供 正常 服务 。 

基于 UDP 的 攻击 方式 还 可 进行 变化 ,攻击 者 利用 服务 器 上 开放 的 UDP 的 chargen 和 
echo 服务 来 发 动 UDP Flood 攻击 。chargen 服务 用 于 测试 目的 ( 即 character generator) ,端口 号 
为 19 ,可 对 任何 接收 到 的 UDP 报 文 反馈 随机 生成 的 字符 ; echo 服务 端口 号 为 7, 与 ICMP 相 
同 ,可 对 任何 接收 到 的 数据 原样 原 路 返回 。 于 是 ,如 图 15.4 所 示 ,攻击 者 伪造 UDP 报 文 , 发 往 
某 一 开放 chargen 服务 的 主机 ,回复 地 址 ( 源 IP 地 址 ) 指 向 开放 echo 服务 的 另 一 台 主 机 ,这 
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样 两 台 主 机 之 间 就 会 无 限制 地 往来 发 送 UDP 报 文 ,生成 大 量 的 无 效 数据 流 ,导致 网 络 


堵塞 。 
被 攻击 者 
攻击 者 IP 地 址 : 4 世 (echo 开 放 ) 


被 攻击 者 
IP 地 址 : B (chargen 开 放 ) 


图 15.4 UDP Flood 攻击 原理 


3. Tear Drop 攻击 

泪 滴 攻 击 (Tear Drop) 是 利用 某 些 TCP/IP 实现 中 分 段 重组 的 进程 的 潜在 弱点 实施 的 
DoS 攻击 ,属于 利用 协议 机 缺陷 进行 的 畸形 消息 攻击 技术 。 

在 TCP/IP 协议 栈 实现 中 ,总 是 假定 可 以 信任 IP 报 文 的 控制 头 所 包含 的 信息 。 某 些 
TCP/IP 协议 机 (存在 于 一 些 操作 系统 相关 版 本 中 ) 即 如 此 认为 。 一 旦 收 到 含有 重 释 偏 移 量 
的 分 段 数据 ,会 因 束手无策 而 崩溃 。 攻 击 者 据 此 自 改 或 恶意 设计 IP 报头 ,形成 错误 偏 移 量 
指针 (offset 值 错位 ) ,发 送 给 目标 主机 ,引起 主机 宕 机 而 终止 服务 。 

很 难 追溯 Tear Drop 这 个 名 称 的 由 来 。 报 文 片段 与 泪 滴 实 在 难以 在 形象 上 联系 到 一 
起 。 难 道 是 源 于 受害 者 因 主机 瘫痪 、 损 失 惨 重 而 泪水 涟 涟 ? 

4. E-mail Bomb 攻击 

电子 邮件 炸弹 (E-mail Bomb) 攻 击 主 要 针对 电子 邮件 服务 器 系统 , 即 在 同一 时 间 内 调 
用 大 量 电子 邮件 服务 器 对 同一 个 目标 发 送 巨 量 电 子 邮 件 , 使 得 该 电子 邮件 服务 器 无 法 正常 
对 外 服务 或 因 超 出 其 处 理 能 力 而 崩溃 ,实现 DoS 攻击 。 

思考 ; 如 何 调用 电子 邮件 服务 器 ? 如 何 让 电子 邮件 服务 器 向 指定 地 址 发 送 大 量 邮 件 ? 

5. Fake IP 攻击 

IP 欺骗 (Fake IP) 攻 击 是 指 利用 虚假 IP 报 文 (如 伪造 IP 地 址 或 其 他 字段 、 伪 造 IP 承载 
的 TCP/UDP 报 文 ) 实 施 的 DoS 攻击 。 这 种 攻击 技术 也 是 其 他 攻击 方法 的 组 成 部 分 之 一 。 

IP 欺骗 攻击 利用 TCP 的 RST 位 来 实现 。 假 定 有 一 个 合法 用 户 (IP 地 址 为 A) 已 经 同 
服务 器 建立 了 正常 的 连接 。 攻 击 者 构造 攻击 的 TCP 报 文 ,把 IP 源 地 址 设 定 为 A ,向 服务 器 
发 送 一 个 带 有 RST 置 位 的 TCP 报 文 ,使 服务 器 误解 而 释放 已 有 连接 。 这 样 , 合 法 用 户 发 送 
数据 就 因 服 务 器 失去 连接 而 无 法 成 功 , 不 得 不 重新 建立 连接 。 为 提升 攻击 效果 ,端口 号 应 设 
置 为 服务 器 的 重点 应 用 ,例如 Web 服务 器 的 80 端口 。 

攻击 者 可 伪造 大 量 的 IP 地 址 (例如 该 网 段 的 所 有 主机 地 址 ), 向 目标 主机 发 送 TCP 
(RST 置 位 ) 报 文 , 使 服务 器 无 法 对 合法 用 户 进行 正常 服务 。 


15.1.2 缓存 区 溢出 攻击 


缓冲 区 溢出 (Buffer Overflow) 攻 击 不 是 让 计算 机 的 缓冲 区 出 现 问 题 那么 简单 ,而 是 故 
意 使 核心 代码 的 缓冲 区 发 生 溢出 ,进而 接管 操作 系统 的 root 控制 权限 。 缓 冲 区 溢出 攻击 的 
设计 思路 非常 精巧 ,但 也 危害 巨大 。 莫 里 斯 的 蠕虫 即 利用 了 这 一 原理 ,为 如 今 网 络 上 泛滥 的 
恶意 程序 打开 了 一 扇 黑 暗 的 大 门 。 

缓冲 区 溢出 错误 是 一 种 非常 普遍 ,非常 隐蔽 ,也 非常 危险 的 漏洞 ,在 各 种 操作 系统 、 应 用 
软件 中 广泛 存在 。 如 今 大 约 80% 的 安全 事件 与 溢出 攻击 有 关 。 

思考 : 为 什么 程序 代码 不 能 完全 (直接 ) 反 映 缓冲 区 溢出 错误 ? 

从 软件 技术 上 说 ,如 果 对 缓冲 区 的 边界 控制 不 严格 ,甚至 不 加 以 控制 ,那么 一 旦 越界 ,就 
会 使 数据 覆盖 其 他 数据 区 域 ,引起 不 可 预料 的 错误 。 例 如 UNIX 系统 中 的 strcpy( 字 符 串 复 
制 ) 函 数 ,只 检查 0x0 结束 符 , 对 字符 串 长 度 不 作 判 别 , 如 果 字 符 串 复制 长 度 超 过 程序 定义 
(申请 ?的 空间 ,就 会 破坏 其 他 区 域 的 数据 。 那 么 ,倘若 对 缓冲 区 溢出 加 以 利用 ,就 可 以 实现 
导致 程序 运行 失败 ,系统 宕 机 、 重 新 启动 等 DoS 攻击 ,或 者 使 一 个 普通 用 户 账号 有 机 会 升级 
为 root 账号 ,获得 一 台 主 机 的 全 部 的 控制 权 。 

除了 strcpy 外 ,实际 上 还 存在 别 的 危险 函数 ,如 sprintf、gets、scanf 等 ; 存在 危险 函数 
的 操作 系统 当然 也 不 限于 UNIX。 

考察 UNIX 程序 空间 内 存 分 配 和 进行 函数 调用 时 的 栈 数据 结构 (如 图 15. 5 所 示 )。 设 
想 某 个 函数 的 一 条 指令 对 图 中 本 地 变量 LocalVar A 作 一 次 超 长 的 数据 复制 操作 ,内 容 为 一 
连 串 的 字母 A(ASCII 编码 0x41)。 该 冒失 的 操作 将 依次 破坏 其 他 本 地 变量 、 被 保护 的 
EBP ,返回 地 址 和 函数 实 参 寄 存 器 .命令 行 参 数 等 ,其 中 最 严重 的 后 果 是 覆盖 了 函数 的 返回 
地 址 ,使 返回 地 址 变 为 0x41414141。 这 样 ,函数 执行 完毕 后 将 “返回 "到 该 错误 的 地 址 ,而 不 
是 按 正常 逻辑 返回 程序 的 调用 点 ,程序 因此 完全 失控 。 类 似 的 修改 栈 内 返回 地 址 的 操作 还 
可 以 通过 精确 的 程序 代码 控制 来 完成 。 这 就 有 了 想象 空间 : 假如 把 返回 地 址 覆盖 为 预谋 的 
地 址 ,或 许 就 可 执行 预谋 的 程序 。 

下 面 用 一 个 缓冲 区 溢出 攻击 的 实例 说 明 缓冲 区 溢出 攻击 的 原理 。 从 实例 中 可 以 观察 到 
系统 的 特性 如 何 被 利用 、 如 何 改 变 正常 的 程序 流程 ,访问 权限 是 如 何 改 变 的 。 实 例 的 目标 是 


内 存 高 端 | 命令 行 参 数 及 环境 变量 一 次 函数 调用 的 栈 结构 
(Command Line Parameters) 2 | 函数 实 参 (Argumentn) | 
栈 (Stack) ST 进 
! ' 栈 
地 7 生生 政 实 参 "(Areument 1) | 
要 | EECeomaam | 
天 S I \ EBP _ EBP 
| 四 本 地 变量 (LocalVar 1) 
Di 数据 段 \ 注 
h \ 闪 
| 
人 | 
.CODE \ 本 地 变量 (LocalVark) | ESP 
内 存 低 端 堪 丽 


图 15.5 程序 空间 与 函数 调用 栈 结构 
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从 一 个 较 低 的 UNIX 用 户 权 限 ( 如 user shell) 获 取 最 高 的 权限 (root shell) 。 

在 UNI 中 ,一 个 在 低级 别 shell 下 执行 的 程序 ,执行 完毕 仍然 回 到 原 有 级 别 , 即 使 重 
复 执行 shell 也 不 例外 。 但 从 微观 的 角度 考察 ,程序 执行 过 程 中 ,调用 某 些 系统 程序 (如 系统 
库 函 数 、 软 中 断 ) 时 ,将 由 系统 权限 (root 权限 ) 接 管控 制 ,正常 情况 下 ,中 断 返 回 后 自动 恢复 
原 shell 权限 ,但 是 ,假如 中 断 没有 如 期 返回 ,结果 就 不 好 说 了 。 

这 个 效果 正 是 溢出 攻击 程序 希望 做 到 并 利用 的 。 

图 15. 6(a) 所 示 为 一 段 在 UNIX 下 执行 一 个 新 shell 的 C 代码 。 对 该 程序 进行 如 下 技 
术 处 理 。 

(1) 如 图 15. 6(b) 所 示 , 使 用 汇编 工具 转换 为 汇编 语言 代码 , 头 尾 加 入 技巧 性 的 代码 
(阴影 部 分 ) ,利用 call 将 下 一 条 指令 (本 例 中 实际 为 字符 串 ) 的 地 址 作为 返回 地 址 人 栈 ,达到 
pop 操作 (第 二 行 ) 后 esi 寄存 器 引用 命令 行 字符 串 的 目的 。 


#include <unistd.h> 0x80482c7 <main+03>:jmp 0x80482e8 <main+36>| 
void main){ Ox80482c9 <main+05>:pop %esi 
char *name[2]; 0x80482ca <main+06>:mov %esi,0x8(%esi) 
name[0] = "/bin/sh"; Ox80482cd <main+09>:xor %eax,%eax 
name[1] = NULL; Ox80482cf <main+11>:mov %al,0x7(%esi) 


execve(name[0],name,NULL); 
exit(0); 
} 


0x80482d2 <main+14>:mov %eax,0xc(%esi) 
0x80482d5 <main+17>:mov $0xb,%al 
0x80482d7 <main+19>:mov %esi,%oebx 


(a) C 语 言 代 码 Q Ox80482d9 <main+21>:lea Ox8(%esi),%ecx 


0x80482dc <main+24>:lea Oxc(%esi),%edx 
0x80482df <main+27>:int $0Ox80 
Ox80482el <main+29>:xor %ebx,%ebx 

六 一 一 一 亚 一 一 一 一 一 一 一 一 一 一 一 二 一 一 门 |0x80482e3 <main+31>:mov %ebx,%eax 

- 编 指 今 功能 简要 说 明 】 | Ox80482e5 <main+33>:inc %eax 


jmp 天 跳 转 :pop 出 栈 ;mov 赋 值 ; | |0x80482e6 <main+34>:int $0x80 
xor 异 或 操作 ;lea 取 地 软 0x80482e8 <main+36>:call 0x80482c9 <main+5> 
inc 加 1;call 调 用 : 0x80482ed <main+41>:.string “/bin/sh”™ 


(b) 优化 后 的 汇编 代码 

char shellcode[] = 

Ox80482c7<main+03>:0xeb 0x2f OxSe Ox89 0x76 0x08 0x31 0xc0 

Ox80482cf<main+11>:0x88 0x46 0x07 0x89 0x46 0x0c 0xb0 0x0b| ”Fr--------- 
Ox80482d7<main+19>:0x89 0xf3 0x8d 0x4e 0x08 Ox8d 0x56 0x0c 1 注 : | 
0x80482df<main+27>:0xcd 0x80 Ox31 Oxdb Ox89 Oxd8 0x40 Oxcd ! 图 中 部 分 代码 和 
Ox80482e7<main+35>:0x80 Oxe8 0xdc OxfF OxfF OxfF 人 bb 1 数据 已 作 技术 处 理 , 
0x80482ff<main+43>: mss ‘h’ 攻 不 能 直接 用 来 运行 | 

(9 十 六 进 制 代码 数据 块 


图 15.6 执行 新 shell 的 代码 变换 


(2) int 0x80 是 操作 系统 提供 的 软 中 断 调用 ,以 寄存 器 al 作为 功能 指示 器 ,其 他 有 关 寄 
存 器 为 输入 参数 。 本 例 中 使 用 了 0x80 软 中 断 的 两 个 功能 : al=0xb 执行 命令 行 ,运行 
“/bin/sh” 指 代 的 shell 命令 ; al 王 0xl 为 退出 操作 。 

(3) 为 避免 代码 中 出 现 数值 0, 运 用 xor eax,eax 替代 相关 赋值 指令 的 技巧 ,防止 以 后 使 
用 strcpy 函数 的 字符 串 复 制 操作 中 止 。 

(4) 最 后 获得 如 图 15. 6(c) 所 示 的 十 六 进 制程 序 代码 数据 块 (数组 )shellcode[ ] ,为 下 
一 步 操作 做 好 了 准备 。 

缓冲 区 溢出 攻击 的 思路 是 : 使 用 字符 串 复制 的 系统 函数 strcpy, 把 精简 的 shellcode 代 
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码 串 作为 “普通 数据 ” 植 人 程序 堆栈 区 ,同时 修改 返回 地 址 使 之 指向 植 人 后 的 shellcode 起 始 
位 置 , 这 样 ,具有 root 权限 的 strcpy 即将 执行 完毕 时 ,还 来 不 及 恢复 低级 权限 ,就 被 劫持 “ 返 
回 ” 去 执行 shellcode 了 。 

为 此 需要 设计 一 个 同样 巧妙 的 溢出 攻击 程序 overflow. c( 如 图 15.7 所 示 ) 作 为 母 程序 ， 
以 上 一 步 得 到 的 shellcode 为 数据 ,如 图 15.7(b) 所 示 ,在 通过 strcpy 复制 函数 搬移 时 ,数据 
块 后 部 的 “返回 地 址 ?就 会 顺势 覆盖 原 返回 地 址 ,一 举 多 得 地 达到 目标 。 


char shellcode[48] = . . (数据 略 ) TN i (阴影 部 分 80B) 
char large_string[32]; end_here 0 
long end_here = 0; large hg 
void overflow( ) { 32B 
char buffer[64]; shellcode 上 
多 “long_ptr = (long *Jlarge_string 48B |0x89 0x5e 0x2f Oxeb 0x89 Ox5e 0x2fOxeb 
int i; | 
return-addr 原 返回 地 址 原 返回 地 址 
* 将 buffer 的 地 址 充满 large_string*/ EBP 人 EBP 1 
for (i=0;i< 8; 计 +) EF / 
*(long_ptr + i) = buffer; i /于 wy 
让 从 shellcode 开 始 复制 到 buffer*/ 块 | 
Strcpy(buffer, shellcode); long_ptr |large_string 的 地 址 large_string 的 地 址 
} 变量 i 变量 i 
低地 址 一 一 (循环 变量 D) (循环 变量 i) 
(a) C 语 言 程序 (b) 程序 开始 时 的 栈 (c) 程序 执行 时 的 栈 


图 15.7 溢出 攻击 程序 及 栈 内 数据 变化 


细节 决定 成 败 。 要 达到 攻击 目的 ,还 需要 注意 几 个 技术 细节 的 处 理 : 可 通过 在 代码 的 
合适 位 置 插入 单字 节 nop 指令 或 在 尾部 添加 非 零 数据 的 办 法 ,使 原 45B 的 shellcode 对 齐 双 
字 长 的 整数 倍 ; buffer 长 度 的 选择 依据 是 能 够 容纳 shellcode 所 有 数据 ; large_string 长 度 
的 选择 依据 是 最 后 一 步 strcpy 的 复制 内 容 足 够 延伸 到 return-addr 区 域 。 

实例 中 的 shellcode 和 返回 地 址 的 数据 块 搬 移 是 一 种 比较 理想 化 的 状态 ,前 提 是 对 栈 内 
的 数据 结构 (尤其 是 保存 返回 地 址 的 位 置 ) 非 常 清晰 ,但 实际 情况 较为 复杂 : 不 确定 buffer 
的 起 始 地 址 ; buffer 的 空间 太 小 不 足以 容纳 shellcode( 使 shellcode 可 能 覆盖 原 返 回 地 址 ) 
等 。 针 对 前 一 种 情况 ,如 图 15. 8(a) 所 示 ,采用 在 shellcode 前 插入 一 连 串 nop( 空 操作 ) 指 令 
的 方法 ,扩大 猜测 范围 ,增加 对 起 始 地 址 的 命中 率 ; 后 一 种 情况 的 解决 方案 如 图 15. 8(b) 所 
示 , 只 需 简单 交换 large_string 和 shellcode 的 位 置 即 可 (图 中 N 表示 nop,A 表示 猜测 的 
shellcode 起 始 地 址 ) 。 实 际 执行 时 需要 多 次 尝试 ,不 断 调整 ,才能 幸运 命中 。 


低地 址 程序 调用 函数 所 用 的 栈 高 地 址 
local variables ebp | other variables and data 
A 的 可 变 1 i 
刍 济 东 自 个 ， 个 


T T 
1 1 
(a) I 
需要 猜测 的 1 1 猜测 范围 ! | 
址 
需要 猜测 的 起 始 地 址 


图 15.8 溢出 攻击 代码 植 人 方案 


| 
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15.2 注入 攻击 


攻击 者 在 网 络 应 用 系统 用 户 访问 界面 上 输入 事先 严密 设计 的 内 容 ( 恶 意 代码 ) ,并 达到 
攻击 目的 , 称 为 注入 攻击 (Injection Attack)。 注 入 攻击 往往 针对 SQL (Structured Query 
Language ,结构 化 查询 语言 ) 数 据 库 存 取 操 作 , 因 此 常 称 为 SQL 注入 攻击 。 

数据 库 是 网 络 信息 系 统 的 核心 。 用 户 列表 、 机 密 数 据 、 内 部 文档 、 关 键 代码 、 系 统 配 置 、 
运行 记录 等 , 均 存 储 在 数据 库 系统 中 ,并 不 断 更 新 和 积累 。 如 果 数 据 库 系 统 受 到 攻击 ,不论 
是 引起 数据 泄露 ,还 是 数据 遭 到 自 改 .伪造 ,删除 ,其 影响 必然 是 最 致命 的 。 

数据 库 访问 采用 SQL 语句 实现 数据 表单 .数据 字段 的 存 取 操作 。 不 幸 的 是 ,编程 人 员 
惯常 信和 手 牛 来 的 SQL 语句 ,看 似 天 衣 无 缝 \ 完 美 无 瑕 ,但 在 网 络 环境 中 却 可 能 被 人 利用 , 变 
成 系统 安全 的 软肋 。 

例如 ,有 以 下 常规 的 脚本 语句 。 此 脚本 实现 的 功能 是 通过 拼合 程序 设 定 的 字符 串 和 用 
户 输入 的 字符 串 , 生 成 一 个 有 效 的 SQL 查询 。 


Var CityName; 
CityName = Request. form ("CityName"); 


var sql = "select * from OrdersTable where CityName = '" + CityName + " '"; 


该 程序 运行 时 ,提示 用 户 输入 “CityName”。 如 果 用 户 如 编程 者 所 愿 输入 字符 串 
Shanghai, 则 查询 过 程 将 完全 按 正常 逻辑 进行 ,由 如 下 SQL 语句 (经 拼合 而 来 ) 执 行 完成 ,用 
户 将 从 “订单 表 ”(OrdersTable) 中 检索 到 与 “Shanghai” 相 关 的 所 有 记录 。 


SELECT * FROM OrdersTable WHERE CityName = ' ;Shanghai' " 


但 是 ,倘若 有 人 不 按 常 理 出 牌 , 输 入 了 以 下 内 容 : 
Shanghai' ; drop table OrdersTable -一 


此 时 ,程序 将 构造 出 以 下 SQL 语句 : 


SELECT x FROM OrdersTable WHERE CityName = ' ;Shanghai' ;drop table OrdersTable -一 于 


分 号 (;) 表 示 一 个 操作 的 结束 和 另 一 个 操作 的 开始 ; 双 连 字符 (--) 指 示 当 前 行 余下 的 部 
分 是 注释 内 容 , 应 该 忽略 。 那 么 , 当 数 据 库 处 理 该 语句 时 ,首先 检索 出 OrdersTable 中 城市 
名 为 Shanghai 的 所 有 记录 ,随后 ,数据 库 将 执行 下 一 条 drop table 命令 ,删除 OrdersTable 
数据 表 。 攻 击 目 的 实现 。 

又 如 以 下 用 以 验证 用 户 名 和 口令 的 SQL 语句 : 


Select * from users where username = ' txtusername. Text ' and password= ' txtpassword. Text ' 


如 果 将 txtusername. Text 赋值 (要 求 输入 用 户 名 时 输入 ) : 
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ior 1 = 1 =- 


将 txtpassword. Text 赋 任 意 值 ( 即 输入 任意 口令 ,例如 0000) ,那么 SQL 脚本 解释 器 中 
的 语句 就 会 变 为 : 


Select * from users where username =' 'or '1' = '1' -- andpassword = '0000' 


显然 ,鉴于 '1'='1' 恒 成 立 , 用 户 验证 总 是 得 到 通过 。 攻 击 目的 实现 。 

可 见 , 注 和 攻击 是 可 行 的 ,后 果 是 严重 的 。 

更 严重 的 问题 在 于 ,只 要 注入 的 SQL 代码 语法 正确 ,系统 无 法 采用 常规 的 编程 方式 来 
检测 。 

Web 访问 中 ,常用 形 如 http://www. name. com/abc. asp? id 二 XX 等 带 有 参数 的 ASP 
动态 网 页 ,参数 有 一 个 或 多 个 ,可 为 整 型 或 字符 串 型 ,相关 的 SQL 语句 如 select * from 表 
名 where 字段 二 XX。 那 么 , 当 攻 击 者 在 XX 位 置 输入 类 似 以 上 例子 的 恶意 代码 时 ,同样 存 
在 遭受 注入 攻击 的 危险 。 

软件 设计 中 ,差错 (bugs) 似 乎 是 不 可 避免 的 ,但 差错 有 别 于 安全 漏洞 (或 安全 缺陷 ) 。 
差错 通常 由 笔 误 或 逻辑 错误 所 引起 ,理论 上 可 以 通过 全 面 而 严格 的 调试 .测试 来 发 现 并 解 
决 。 然 而 ,安全 漏洞 一 般 很 难 捕捉 ,只 有 尽 可 能 使 设计 更 严谨 、 代 码 更 规范 ,才能 从 根本 上 进 
行 防范 。 比 如 : 严格 区 分 普通 用 户 和 管理 员 的 访问 权限 ; 通过 参数 来 传递 变量 ,而 非 直接 
艇 和 变量, 对 用 户 输入 进行 检查 ,一 点 发 现 有 分 号 和 双 连 字符 等 可 疑 字符 即 拒绝 执行 ; 运 
用 数据 库 管理 系统 (Data Base Mangement System ,DBMS) 提 供 的 安全 手段 ; 必要 时 采用 漏 
洞 扫 描 工 具 进 行 排查 。 


15.3 劫持 攻击 


中 间 人 攻击 (Middle-man) 是 一 种 劫持 攻击 手段 ,就 像 商品 交易 的 中 间 人 角色 一 样 , 隔 
离 交 易 方 , 每 一 方 传递 的 信息 都 被 中 间 人 截取 ,而 双方 都 认为 来 自 中 间 人 的 信息 是 另 一 方 所 
发 送 的 。 中 间 人 攻击 通常 结合 其 他 手段 综合 运用 。 

在 点 对 点 通信 方式 下 ,中间人 采用 断 开通 信 信 道 ,将 自身 插 和 人 其 间 的 方法 ,截留 报 文 ,并 
仿冒 一 方 与 男 一 方 通信 。 

在 网 络 多 点 通信 方式 下 ,中 间 人 则 采取 更 加 多 样 化 的 手段 ,例如 ,分 别 骗取 双方 信任 再 
进行 仿冒 通信 (如 利用 公 钥 验证 系统 ) ; 伪造 IP 地 址 或 MAC 地 址 ; 扰乱 并 窃取 路 由 ; 和 修改 
DNS 服务 ; 破解 VPN 专 网 等 。 

黑洞 (Blackhole) 攻 击 主要 存在 于 Ad-hoc 网 络 中 ,属于 另 一 种 劫持 攻击 方法 。 

天 文学 家 预言 ,在 宇宙 中 存在 一 种 特别 的 天 体 , 其 质量 和 密度 无 与 伦比 地 巨大 ,由 此 产 
生 超 强 的 天 体 引力 ,以 至 于 连 光 子 都 无 法 逃逸 ,所 以 必然 是 黑 乎 平一 团 , 即 为 黑洞 。 

黑洞 攻击 就 是 希望 达到 与 天 体 黑洞 同样 的 效果 ,使 网 络 中 所 有 结 点 的 报 文 都 发 往 恶意 
的 黑洞 结 点 。 

黑洞 结 点 首先 接 人 Ad-hoc 网 络 , 运 行 与 其 他 正常 结 点 相同 的 链 路 层 、 网 络 层 和 路 由 协 
议 。 当 黑洞 结 点 与 其 他 结 点 交换 路 由 信息 时 ,加 入 经 过 设计 的 可 以 影响 路 由 选择 的 信息 ,这 
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些 信息 往往 是 子虚乌有 的 “可 用 信道 ”。 其 他 结 点 当然 信以为真 ,在 路 由 信息 中 忠实 记录 了 
这 些 可 选 路 径 ,建立 起 路 由 表 。 这 样 , 当 一 个 结 点 需要 转发 数据 报 文 时 ,很 可 能 就 会 发 往 黑 
洞 结 点 。 黑 洞 结 点 处 理 这 些 数据 报 文 的 唯一 手段 是 丢弃 。 结 果 ,Ad-hoc 网 络 中 就 像 出 现 了 
一 个 天 体 黑 洞 ,将 各 结 点 发 送 的 数据 报 文 纷纷 吸 走 , 有 去 无 回 。 

Sybil 攻击 与 黑洞 攻击 有 一 定 的 相似 性 ,但 其 方法 主要 是 扮演 不 同 结 点 的 角色 ,如 伪造 
或 仿冒 其 他 结 点 的 MAC 地 址 ,以 不 同 身份 出 现 , 达 到 干扰 正常 路 由 建立 的 目的 。Rushing 
攻击 则 采用 抢先 响应 手段 来 阻止 正常 结 点 的 通信 。 

虫 洞 攻击 (Wormhole) 也 以 干扰 和 支持 Ad hoc 路 由 为 目标 。 

虫 洞 是 另 一 种 宇宙 学 假定 。 通 过 虫 洞 可 以 弯曲 或 折 共 时 空 , 从 一 个 点 可 以 瞬间 到 达 另 
一 点 ,尽管 两 个 点 相距 一 万 光 年 那么 遥远 。 

虫 洞 攻击 通常 是 由 两 个 以 上 的 恶意 结 点 合谋 ,共同 发 动 攻击 。 两 个 处 于 不 同位 置 的 虫 
洞 结 点 相互 协作 ,一 个 虫 洞 结 点 把 收 到 的 路 由 信息 经 由 专用 的 信道 传 给 另 一 个 虫 洞 结 点 , 另 
一 个 也 把 收 到 的 路 由 信息 直接 传 过 来 。 如 此 一 来 ,虽然 两 个 虫 洞 结 点 相距 甚 远 , 却 犹如 穿越 
虫 洞 般 只 有 一 步 之 遥 。 如 此 经 过 两 个 虫 洞 结 点 挫 假 的 路 由 信息 ,计算 得 到 的 跳跃 数 将 有 很 
大 的 机 会 比 正常 路 径 的 跳跃 数 短 , 则 数据 报 文 就 会 乖 冬 地 交 给 虫 洞 结 点 转发 ,结果 当然 很 
不 妙 。 


网 络 安 全 防范 Cnetwork security defence) 是 针对 网 络 安全 威胁 ,使 用 各 
种 技术 和 管理 手段 ,达到 防止 发现. 帝制、 消除 网 络 攻击 的 目的 ,保障 网 络 与 
信息 系统 安全 。 
网 络 安全 防范 技术 手段 很 多 ,各 有 其 独特 的 作用 ,因此 ,在 实际 运用 时 需 
要 注意 几 个 方面 的 问题 。 

(1) 有 的 放 和 撩 地 选择 技术 ,在 深入 需求 分 析 的 基础 上 有 所 取舍 。 不 做 简 
单 堆砌 的 泥 瓦 匠 ,要 成 为 用 心 设计 的 建筑 师 。 

(2) 一 项 技术 解决 一 类 问题 ,相互 结合 .相互 补充 才能 形成 完善 的 防范 体 
系 , 不 能 有 失 偏 颇 ,应 该 以 全 局 的 观点 ,注重 全 面 防范 效果 提升 。 

(3) 讲究 策略 ,讲究 平衡 ,以 最 小 的 代价 获得 最 佳 防范 效果 。 

(4) 不 断 跟 踪 网 络 安全 威胁 与 防范 的 最 新 技术 动态 ,不 断 调 整 和 更 新 技 
术 ,才能 保持 长 效 的 安全 防范 能 力 。 

(5) 关注 防范 技术 可 能 造成 的 负面 影响 ,因为 坚固 的 城堡 可 以 更 好 地 抵 
挡 入 侵 , 但 同时 也 会 在 一 定 程度 上 禁 铜 自身。 

网 络 安全 方法 策略 和 体系 遵循 水 桶 法 则 ( 短 板 效应 ), 所 以 ,技术 措施 应 
与 非 技 术 措 施 ( 包 括 物 理 安全 、 人 员 安 全 ,安全 管理 等 ) 紧 密 配 合 , 不 可 或 缺 ， 
不 能 厚 此 薄 彼 。 特 洛 伊 城 不 可 谓 不 坚固 ,使 强大 的 敌人 无 可 奈何 , 却 最 终 毁 
于 一 匹 木马 ,教训 是 深刻 的 。 

一 些 系 统 为 了 保障 所 谓 彻底 的 安全 ,采用 了 完全 物理 隔离 的 办 法 , 变 成 
一 个 个 信息 孤岛 ,这 种 因 哮 废 食 的 做 法 其 实 并 不 可 取 。 网 络 的 作用 在 于 互 连 
互通 ,不 论 是 采用 数据 摆渡 ,还 是 人 工 端口 切换 ,网 络 的 优势 都 丧失 列 尽 了 。 

树 欲 静 而 风 不 止 。 我 们 应 当 认 识 到 ,安全 防范 技术 再 出 色 ,也 不 是 万 无 
一 失 的 。 技 术 能 力 具 有 相对 性 。 一 方面 ,需要 坚定 信念 ,在 战略 上 郸 视 网 络 
黑暗 势力 , 另 一 方面 ,要 在 战术 上 足够 重视 ,未 雨 绸 缪 ,让 安全 防范 系统 时 刻 
处 于 活跃 的 ,临战 的 ,健康 的 、 最 佳 的 状态 。 

网 络 安 全 防范 技术 依照 其 基本 原理 可 分 为 3 种 类 型 。 

(1) 嵌入 式 安全 防范 (Embedded Defence) 指 在 信息 交换 路 径 上 部 署 相 
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应 的 安全 防范 技术 ,可 以 是 具有 特定 功能 的 设备 (硬件 ) ,也 可 以 是 专门 设计 的 协议 、 软 件 。 
嵌入 式 安全 防范 技术 包括 安全 协议 (或 协议 补丁 ) .虚拟 专用 网 (VPN) .地址 翻译 CNAT)》` 访 
问 代理 (proxy)、 网 络 防 火 墙 (firewall) 病毒 和 木马 查 杀 网 关 .垃圾 邮件 过 滤 等 。 

(2) 主动 式 安全 防范 (Active Defence) 指 对 网 络 信息 系统 的 操作 层面 (用 户 )、 信 息 层 面 
(内 容 ) .通信 层面 (组 网 ) 等 关键 环节 加 强 网 络 安全 防范 措施 ,主动 发 现 安全 隐患 ,及 时 进行 
改进 调整 , 防 患 于 未 然 。 主 动 式 安全 防范 技术 包括 网 络 管理 与 系统 管理 ,信息 加 密 、 数 字 证 
书 安全 访问 认证 、 虚 拟 子 网 (VLAN) .网 络 安全 扫描 与 评估 、 软 件 安全 修补 等 。 

(3) 被 动 式 安全 防范 (Passive Defence) 指 两 类 安全 防范 措施 : 一 类 是 通过 部 署 的 系统 
在 网 络 安全 威胁 发 生 时 能 够 及 时 发 现 . 及 时 预警 .及 时 采取 措施 , 尽 可 能 减少 损失 ,防止 灾难 
蔓延 ; 另 一 类 是 通过 对 历史 数据 的 分 析 , 找 出 已 经 发 生 的 攻击 行为 和 事件 ,发 现 潜 在 的 缺 
陷 , 以 便 采 取 针 对 性 措施 亡羊补牢 。 被 动 式 安全 防范 不 仅 能 够 弥补 嵌入 式 安 全 防范 和 主动 
式 安全 防范 的 不 足 和 遗漏 之 处 ,而 且 具 有 动态 检测 的 能 力 , 是 网 络 安全 防范 体系 的 重要 组 成 
部 分 。 被 动 式 安全 防范 技术 包括 入 侵 检测 系统 (IDS) ,安全 审计 系统 (SAS) .网 页 防 自 改 、 实 
时 监控 系统 、 运 行 日 志 (System Log) 等 。 

3 类 网 络 安全 防范 技术 之 间 的 界限 其 实 并 不 明显 ,是 相互 渗透 ,相互 结合 ,相互 协作 的 
关系 ,共同 满足 保障 网 络 和 信息 系统 安全 的 需要 。 


16.1 柑 和 人 式 安全 防范 
16.1.1 防火 墙 


防火 墙 (firewall,FW) 是 网 络 安全 防范 体系 的 重要 技术 装备 ,属于 骨 和 人 式 防 范 技术 。 如 

图 16. 1 所 示 ,防火 墙 作为 一 种 网 关 (gateway) 起 到 隔离 内 部 网 络 和 外 部 网 络 的 作用 ,和 路 由 
器 一 起 (经 常 合 二 为 一 ) 串 联 在 内 网 出 口 位 置 。 

安全 的 ! 


不 安全 的 ! 


Intranet 


eet ep 


图 16.1 防火 墙 部 署 方式 示意 


防火 墙 的 技术 优势 在 于 其 透明 性 , 即 对 内 部 网 络 的 组 网 结构 、 计 算 机 设备 数量 和 分 布 、 
网 络 应 用 类 型 等 均 不 敏感 ,有 利于 安装 和 使 用 。 

防火 墙 的 类 型 和 功能 很 多 ,应 该 根据 网 络 应 用 需求 加 以 选择 。 从 安全 防范 方法 上 看 , 防 
火 墙 有 过 滤 (filtering) 、 代 理 (agent/proxy) 等 不 同 功能 ; 从 层次 结构 上 看 ,防火 墙 有 3 层 
(IP)、4 层 (TCP/UDP) 之 分 ; 从 防范 对 象 上 ,有 内 网 防火 墙 病 毒 /木马 防火 墙 \ 垃 圾 邮件 防 
火 墙 ; 从 技术 实现 上 ,分 硬件 防火 墙 . 软 件 防 火 墙 。 从 表 16. 1 可 以 看 出 ,不 同 的 功能 进行 交 
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又 组 合 可 以 形成 不 同 的 防火 墙 功效 。 
表 16.1 防火 墙 功能 


层次 过 滤 功 能 代理 功能 
网 络 层 过 滤 IP 地 址 .过 滤 广 播 . 过 滤 探 测报 文 、 报 文 重组 .NAT、 防 范 DoS 攻击 
过 滤 无 效 报 文 
运输 层 过 滤 TCP/UDP 端口 号 防范 SYN 攻击 ,防范 其 他 TCP/UDP 的 
Dos 攻击 
应 用 层 过 滤 内 容 安全 策略 应 用 、 病 毒 扫描 ,木马 探测 
用 户 层 过 滤 连 接 发 起 人 Cache .身份 认证 . 计 费 


过 滤 技 术 和 代理 技术 都 是 对 协议 报 文 .信息 内 容 进行 筛选 ,剔除 不 安全 元 素 ,放行 安全 
的 访问 。 但 两 者 在 介入 深度 上 有 所 差别 。 过 滤 技 术 对 每 个 通过 的 报 文 依次 进行 处 理 , 是 无 
状态 的 , 报 文 间 相 互 独立 , 互 不 影响 ,可 以 达到 很 高 的 处 理 速度 。 过 滤 技 术 可 以 比喻 为 日 常 
生活 中 所 用 的 筛子 ,分 离 尺 寸 大 小 不 同 的 颗粒 。 代 理 技术 则 会 参与 协议 会 话 过 程 , 例如 
TCP 连接 过 程 . 报 文 分 割 和 拼接 。 因 此 代理 操作 是 有 状态 的 ,同一 个 会 话 (或 同一 个 流 ) 的 
报 文 间 相 互 有 关联 性 。 代 理 技术 就 像 日 常生 活 中 的 中 介 角 色 ,处 于 每 个 交易 的 中 间 环 节 。 

防火 墙 的 过 滤 和 代理 操作 具有 不 对 称 性 ,主要 对 来 自 外 部 网 络 ( 如 Internet) 的 信息 流 
进行 严格 检查 ,而 对 内 部 网 络 发 起 的 会 话 ,检查 力度 相对 较 弱 ,这 是 由 防火 墙 的 防护 职能 所 
决定 的 。 通 常 假定 外 部 网 络 是 不 安全 的 ,访问 行为 是 不 可 信和 的 ,而 内 部 网 络 较 为 安全 、 可 控 ， 
需要 受到 保护 。 而 且 , 大 多 数 防 火 墙 用 于 内 网 接 入 Internet, 绝 大 部 分 访问 行为 都 是 由 内 部 
计算 机 主动 发 起 ,从 内 到 外 的 ,很 少 有 从 外 部 网 络 主动 访问 内 网 主机 (除非 是 网 站 系统 ), 因 
此 不 对 称 的 防护 可 以 提高 防火 墙 的 运行 效率 , 尽 可 能 减少 对 正常 网 络 访问 活动 的 影响 。 

如 图 16.2 所 示 , 在 IP 层次 的 过 滤 检 查 方面 ,防火 墙 通过 一 系列 的 报 文 报头 判别 规则 ， 
使 差错 ,虚假 伪造 的 IP 报 文 无 法 通过 ,有 针对 性 地 防范 了 Tear Drop、Fake IP、Ping of 
Death 等 网 络 攻击 活动 。 


= 目的 和 源 地 焉 不 同 输入 IP 报 文 
= 目的 地 址 属于 本 网 

= 源 地 址 不 属于 本 网 

= 非 广播 


广播 地 址 
= 非 主机 号 全 零 地 址 | _ 


到 i N 
= 报 文 标识 号 相同 报 文 拼接 合法 ? 
长 度 在 限定 范围 内 
篇 移 量 不 交叉 允许 的 选项 ? 
a 正常 结束 (M=0) 


分 片 全 部 到 齐 
"|: 


(其 他 协议 过 滤 】 (TCP/UDP 过 滤 ) ”〔 丢 奔 ) 


图 16.2 防火 墙 执行 IP 协 议 过 滤 流 程 


其 中 IP 报 文 分 片 拼接 合法 性 的 检查 可 采用 代理 方式 实现 : 由 防火 墙 缓 存 需要 拼接 的 
IP 报 文 分 片 CM 王 1) ,并 根据 规则 检查 每 个 分 片 。 若 发 现 不 符 要 求 的 分 组 , 则 丢弃 全 部 分 
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片 ; 车 收 到 最 后 分 片 (M 二 0) 并 全 部 符合 要 求 , 则 将 缓存 的 报 文 全 部 转发 到 内 网 。 在 防火 墙 
这 一 措施 的 限制 下 ,来 自 外 部 网 络 的 碎片 攻击 就 无 法 穿 透 到 内 网 主机 。 

再 以 TCP 同步 DoS 攻击 (TCP 3 次 握手 攻击 ) 为 例 ,说 明 防火 墙 代理 机 制 所 起 的 防范 
安全 威胁 作用 。 模 拟 算法 流程 如 下 。 

(1) 外 网 攻击 者 发 送 SYN ,请 求 会 话 连接 。 

(2) 防火 墙 接收 到 SYN ,检查 IP 地 址 的 有 效 性 、 源 地 址 是 否 内 网 地 址 等 ,车 判断 为 可 疑 
的 连接 请 求 ,丢弃 报 文 (可 不 予以 响应 ,以 对 抗 探测 ) ,结束 ,否则 到 下 一 步 。 

(3) 防火 墙 响应 SYN-ACK ,启动 超时 计时 器 。 防 火 墙 只 需 匹 配 极 少 资源 ; 计时 器 长 度 
可 以 依据 不 同 需 求 进行 调整 ,适当 缩短 。 

(4) 车 计时 器 超时 防火 墙 未 收 到 ACK , 则 释放 该 连接 (不 用 发 送 拒 绝 报 文 ,不 占用 带宽 
资源 ) ,结束 ,否则 到 下 一 步 。 

(5) 防火 墙 若 收 到 ACK ,立即 向 内 网 指定 计算 机 (第 (3) 步 已 记录 相关 连接 参数 或 已 组 
存 原 报 文 ) 发 送 SYN, 当 接收 到 SYN-ACK 后 立即 响应 ACK。TCP 连接 建立 成 功 。 

防火 墙 在 工作 过 程 中 使 用 访问 控制 列表 (Access Control List,ACL) 来 灵活 管理 过 滤 机 
制 。ACL 存放 用 于 判别 报 文 .连接 与 操作 是 否 合 法 的 相关 参量 ,如 IP 地址、 端口 号 等 ,可 以 
动态 维护 更新。 使 用 ACL 后 ,判别 模块 就 成 为 一 台 过 滤 引 擎 ,ACL 就 是 能 量 来 源 。 

ACL 可 以 保存 黑 名 单 (black list; forbid list), 显 性 指出 禁止 访问 的 项 目 , 如 某 个 IP 地 
址 (或 网 段 )、 某 个 TCP/UDP 端口 号 。 访 问 控制 引擎 对 黑 名单 采 用 负 逻 辑 (negative logic) 
判别 方式 , 即 符合 条 件 者 不 通过 ,否则 通过 。 

ACL 还 可 以 使 用 白 名 单 (white list; permission list), 显 性 指出 允许 访问 的 项 目 。 访 问 
控制 引擎 对 白 名 单 采 用 正 逻 辑 (positive logic) 判 别 方式 , 即 符合 条 件 者 通过 ,和 否则 不 通过 。 

黑 名 单 制 比较 适合 包含 有 限 的 禁止 项 目的 情况 ,如 明确 需要 拦截 的 不 良 网 站 。 因 为 绝 
大 多 数 网 站 是 允许 访问 的 ,而 且 不 胜 枚 举 , 则 隐 性 允许 访问 。 白 名 单 制 正好 相反 ,适合 包含 
有 限 的 允许 项 目的 情况 ,如 仅 允许 Web( 端 口 80) 和 E-mail( 端 口 25 和 110) 访 问 ,其 他 应 用 
(其 他 端口 号 ) 的 报 文 都 将 被 拦截 。 

灰 名 单 (grey list) 是 一 种 颜色 稍 淡 的 特殊 ACL 黑 名 单机 制 , 不 同 于 黑 名 单 的 相对 静态 
特性 , 灰 名 单 可 以 由 防火 墙 自动 地 ,动态 地 进行 调整 ,因此 更 为 灵活 ,可 称 为 临时 黑 名 单 。 当 
防火 墙 监测 到 某 个 站 点 具有 突 发 的 不 良 表现 (如 正在 发 出 蠕虫 攻击 ,正在 实施 DoS 攻击 ) 需 
要 进行 过 滤 和 拦截 时 ,将 其 相关 参数 (如 IP 地 址 ) 自 动 移入 防火 墙 的 ACL 灰 名 单 , 这 样 一 
来 ,只 需 简单 判别 IP 地 址 就 可 以 快速 丢弃 后 续 攻 击 报 文 ,将 可 攻击 行为 的 影响 降 到 最 低 水 
平 。 如 果 经 过 一 段 规定 时 间 ( 也 可 人 工 干预 ) 后 不 再 出 现 类 似 不 安全 问题 , 则 可 以 将 过 滤 地 
址 从 灰 名 单 中 释放 ,访问 活动 即 恢复 常态 。 例 如 ,自动 将 正在 发 送 垃圾 邮件 的 SMTP 服务 
器 地 址 置信 灰 名 单 ,可 高 效 拦截 潮涌 式 的 大 量 垃圾 邮件 ; 当 异 常 状况 消失 ,自动 将 SMTP 
服务 器 地 址 从 灰 名 单 中 去 除 。 

防火 墙 主要 用 于 保护 内 部 网 络 的 安全 ,但 有 时 候 也 存在 一 些 矛 盾 : 内 部 网 络 上 不 同 设 
备 的 安全 需求 是 不 同 的 ,许多 内 部 网 络 需要 通过 一 些 服 务 器 系统 (如 Web 服务 器 .E-mail 服 
务 器 .FTP 服务 器 ) 对 外 提供 访问 服务 .这些 服务 器 系统 也 需要 一 定 的 安全 保护 ,但 应 避免 
复杂 性 ,提高 访问 效率 ; 同时 ,对 外 服务 系统 与 内 部 应 用 系统 间 要 有 一 定 的 互 连 关系 ,用 于 
安全 地 交换 数据 。 
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如 图 16. 3 所 示 ,可 采用 双 防 火 墙 的 两 层 内 部 网 络 部 署 方 案 。 两 个 防火 墙 分 别 采 取 不 同 
的 防范 策略 ,以 期 在 安全 与 效率 间 达 到 一 定 平衡 。 其 中 中 间 层 以 对 外 提供 服务 为 目标 ,具有 
较 强 的 开放 性 ,更 关注 访问 效率 ,而 在 安全 上 是 可 牺牲 的 缓冲 地 带 , 所 以 可 以 适当 降低 安全 
保护 的 强度 , 称 为 非 军 事 区 (De-Military Zone,DMZ); 内 层 则 是 真正 的 内 部 网 络 ,受到 最 严 
格 的 安全 保护 。 某 些 防火 墙 同时 具有 DMZ 端口 和 内 部 网 络 端口 , 即 是 针对 此 目的 而 设计 ， 
使 得 用 户 不 必 分 别 添置 两 台 防火 墙 , 且 部 署 和 维护 更 便捷 。 
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图 16.3 双 防 火 墙 和 DMZ 结构 


防火 墙 运行 时 ,应 注意 两 个 对 立 指 标 间 的 平衡 : 误 报 率 ( 误 检 率 ) 和 漏 报 率 ( 漏 检 率 )。 误 
报 率 (rate of false detection) 指 正常 访问 或 数据 误 遭 防火 墙 拦截 ,直接 造成 访问 失败 .数据 (如 邮 
件 ) 丢 失 , 误 报 率 当然 越 低 越 好 ; 漏 报 率 (rate of missing) 是 检 出 率 (rate of detection) 的 反面 , 指 
防火 墙 未 能 发 现 安全 攻击 的 访问 或 数据 ,使 漏网 之 鱼 进 入 网 络 系统 , 漏 报 率 也 是 越 低 越 好 。 
提高 防火 墙 检 查 的 严格 级 别 , 可 降低 漏 报 率 、 提 高 检 出 率 , 但 有 可 能 使 误 报 率 上 升 , 反 之 , 误 
报 率 降低 , 则 可 能 出 现 漏 报 状况 。 不 同 的 应 用 ,不 同 的 防火 墙 类 型 对 这 些 指标 的 把 握 是 不 同 
的 。 例 如 ,病毒 防火 墙 应 保证 零 漏 报 ,否则 一 个 漏网 的 病毒 将 使 防线 全 面 崩 溃 ; 垃圾 邮件 网 
关 属 于 模糊 判别 的 系统 ,就 需要 在 相关 参数 间 合 理 协 调 , 使 正常 邮件 不 被 拦截 ,垃圾 邮件 则 
越 少 越 好 ,达到 最 佳 防范 效果 。 


16.152 和 代理 


代理 (proxy'agent) 是 计算 机 网 络 体系 中 的 一 种 网 关 设 备 , 用 于 协助 网 络 用 户 完成 访问 
任务 , 即 用 户 将 访问 请 求 提交 给 代理 ,由 代理 完成 对 指定 资源 的 访问 ,并 把 访问 结果 转交 给 
用 户 。 

可 见 , 代 理 主要 起 到 类 似 中 间 人 的 访问 隔离 作用 ,帮助 网 络 用 户 完 成 其 不 能 直接 实施 的 
任务 。 另 外 ,代理 可 以 设 定 缓存 空间 ,存储 网 络 访问 的 结果 (如 网 页 文件 等 ) ,以 便 向 下 一 个 
相同 的 访问 (可 能 来 自 不 同 用 户 ) 提 供 本 地 响应 的 ,快速 的 服务 ,不 占用 珍贵 的 Internet 接 人 
带宽 资源 。 代 理 采 用 缓存 内 容 的 定期 更 新 和 淘汰 机 制 ,以 避免 向 用 户 提供 过 期 信息 。 

正 是 由 于 代理 可 以 对 访问 进行 白 名 单 式 的 控制 ,所 以 网 络 系统 中 的 代理 也 是 一 种 有 效 
的 网 络 安全 设备 。 如 图 16.4 所 示 , 通 过 代理 的 设置 ,可 以 向 指定 的 用 户 开 放 指 定 的 应 用 、 指 
定 的 URL、 指 定 的 通信 流量 ,指定 的 访问 时 段 等 :使 用 户 的 访问 行为 得 到 有 效 的 约束 ,也 限 
制 了 外 部 网 络 用 户 对 内 部 网 络 用 户 的 直接 访问 行为 。 

如 图 16. 5 所 示 , 通 过 应 用 代理 可 以 实现 协议 (包括 端口 号 .IP 地 址 ) 的 转换 ,用 于 穿越 
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防火 墙 的 拦截 (俗称 翻 墙 ) 。 工 作 原 理 是 : 内 网 客户 机 以 防火 墙 允许 的 HTTP 访问 外 网 代 
理 , 代 理 正常 访问 相关 应 用 服务 ,并 将 访问 结果 或 回复 以 HTTP 返回 (例如 采用 隧道 封装 方 
式 ), 由 客户 机 安装 的 代理 插件 转换 为 应 用 服务 协议 。 

如 果 采 用 双 代 理 技术 ,在 内 网 安装 另 一 台 代 理 , 与 外 网 代理 配合 工作 ,客户 机 上 就 不 需要 
安装 特殊 的 代理 插件 ,需要 访问 外 网 应 用 服务 时 以 访问 内 网 代理 替代 ,适用 性 和 灵活 性 更 强 。 
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图 16.4 网 络 代理 功能 示意 
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图 16.5 外 网 应 用 代理 方案 


16.2 主动 式 安全 防范 


16.2.1 安全 口令 
口令 (password,pin) 是 一 种 方便 而 有 效 的 网 络 安 全 防护 措施 。 各 种 网 络 与 信息 系统 的 
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用 户 身 份 认证 都 是 依赖 口令 验证 来 完成 。 掌 握 了 口令 ,就 拥有 了 访问 系统 及 其 资源 的 权力 。 

口令 一 般 和 用 户 名 (登录 名 、 账 号 .账户 名 .ID 等 ) 配 合 使 用 。 口 令 技术 可 类 比 公 钥 体 
制 。 如 果 说 用 户 名 就 是 公 钥 ,那么 口令 就 是 私 钥 。 用 户 名 可 以 公开 (比如 把 E-mail 地 址 印 
在 名 片上 到 处 散发 ) ,用 于 标识 和 区 分 不 同 用 户 的 账户 ,而 唯一 防止 账户 被 非 授权 者 打开 的 
手段 就 是 口令 。 可 见 口 令 的 安全 性 是 极其 重要 的 ,对 口令 的 保护 也 是 信息 安全 的 重 中 之 重 。 

口令 鉴别 工作 所 承担 的 职能 不 仅 是 验证 用 户 身份 的 合法 性 ,还 在 于 进一步 对 用 户 的 访 
问 进行 必要 的 限定 ,以 保护 系统 和 数据 的 安全 。 用 户 认证 系统 一 般 通 过 角色 (role) 的 定义 
来 区 分 不 同 种 类 的 用 户 ,而 不 同 的 角色 与 事先 指定 的 访问 范围 .访问 方式 、 访 问 权 限 等 相关 
联 , 达 到 用 户 认证 角色 赋予 一 访问 限定 的 目的 。 例 如 ,超级 用 户 (root) 可 以 管理 所 有 用 
户 , 访 问 所 有 资源 ,使 用 所 有 功能 ; 系统 管理 员 (admin) 可 以 管理 用 户 , 但 只 能 访问 部 分 资 
源 , 使 用 部 分 功能 ; 普通 用 户 (user 或 guest) 可 以 管理 自己 的 账户 ,修改 自己 的 口令 ,但 只 能 
使 用 指定 范围 的 指定 服务 。 

用 户 角 色 和 权限 的 赋予 可 具有 不 同 的 细 粒 度 , 相 应 的 系统 复杂 性 和 安全 性 也 各 不 相同 。 
安全 管理 越 细 致 ,安全 性 保障 越 好 ,系统 复杂 性 和 管理 复杂 性 也 越 高 。 求 大 求全 不 是 系统 设 
计 的 目的 。 所 以 ,针对 不 同 的 应 用 需求 ,应 当 在 安全 体系 设计 时 找 出 最 佳 平衡 点 ,优化 系统 
配置 。 用 户 访问 权限 的 设 定 可 从 粗 到 细 划 分 如 下 。 

(1) 可 访问 资源 的 URL( 或 IP 地 址 ) 。 

(2) 可 访问 资源 的 协议 类 型 (Web、E-mail、FTP 等 )。 

(3) 可 访问 的 应 用 系统 。 

(4) 可 访问 的 应 用 系统 的 功能 (或 时 段 ) 。 

(5) 可 访问 的 应 用 系统 的 功能 操作 方式 ( 读 / 写 .更 改 /添加 /删除 ) 。 

(6) 可 访问 的 应 用 系统 的 数据 表 。 

(7) 可 访问 的 应 用 系统 的 数据 表 的 字段 。 

既然 口令 非常 重要 ,为 了 防止 被 破解 猜测、 窃听 ,理想 的 办 法 是 采用 一 次 性 口令 (One- 
Time Password,OTP) 。 一 个 口令 (验证 码 ) 只 使 用 一 次 ,下 一 次 一 定 发 生变 化 ,每 次 的 鉴别 
口令 都 各 不 相同 ,可 防范 重 放 攻击 。 

如 果 每 次 都 需要 生成 一 个 口令 ,口令 很 长 ,口令 的 字符 组 织 无 规律 可 循 ,等 等 ,在 原则 上 
是 正确 的 ,但 实际 上 行 不 通 , 因 为 没有 兼顾 用 户 如 何 获取 口令 ,如 何 记忆 口令 ,使 用 口令 是 否 
方便 等 因素 。OTP 的 任务 在 于 解决 实际 使 用 口令 和 口令 变化 的 矛盾 。 

如 图 16.6 所 示 ,OTP 的 工作 原理 是 : 在 用 户 登 录 过 程 中 的 口令 传输 时 加 入 不 确定 因 
子 , 称 为 salt, 使 用 户口 令 不 以 固定 的 明文 或 密 文 方式 在 网 络 上 传输 ,每 次 传送 的 验证 码 都 
不 相同 ,而 系统 收 到 验证 码 后 可 以 用 相同 的 算法 验证 ,达到 一 次 性 口令 的 目标 。 网 络 攻击 者 
即使 掌握 了 随机 数 、 验 证 算法 和 Hash 函数 ,但 在 不 知道 口令 的 情况 下 ,只 能 采用 暴力 穷 举 
破解 的 下 策 。 

例如 ,登录 验证 码 二 MD5( 口 令 十 随机 数 ) 或 MD5 (用户 名 十 口令 十 随机 数 ) ,用 户 只 需 
输入 记忆 的 口令 ,系统 自动 拼接 随机 数 后 做 MD5 单 向 函数 运算 ,生成 每 次 不 同 的 验证 码 。 
这 里 使 用 的 随机 数 就 是 OTP 的 salt, 即 干扰 因子 。 随 机 数 可 以 由 客户 端 产 生 , 在 发 送 验证 
码 时 一 起 传送 给 服务 端 ; 也 可 由 服务 端 产生 ,在 询问 口令 时 传送 给 客户 端 ( 相 当 于 挑战 式 询 
问 ); 干扰 因子 也 可 由 当前 时 间 等 参数 代替 。 
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客户 端 一 一 一 一 mternet-- -一 = | ”服务 端 


上 要 
网 号 | rm == 区 多] [的 Hi 
6 


随机 数 上 -一 一 一 一 = 随机 数 -i 
9 


16.6 一 次 性 口令 原理 


这 种 挑战 /回答 式 一 次 性 口令 方法 在 CHAP、Radius 等 安全 认证 协议 中 得 到 运用 。 

配合 使 用 特殊 的 设备 或 策略 ,也 可 实现 其 他 一 次 性 口令 验证 方案 。 

(1) 口令 序列 (S/KEY)。 如 图 16.7 所 示 ,S/KEY 口令 为 一 个 单 向 的 前 后 相关 的 序列 ， 
由 个 口令 组 成 。 口 令 序 列 技术 标准 在 RFC 1760 中 定义 。 客 户 端 的 口令 序列 是 由 用 户口 
令 和 服务 端 提 供 的 种 子 (seed) 经 MD4 单 向 函数 加 密 而 成 。 客 户 端 再 通过 连续 n 次 单 向 函 
数 (可 采用 MD5、SHA-1 等 算法 ), 生 成 nn 个 顺序 排列 的 口令 验证 码 序列 。 客 户 端 登录 时 ， 
道 向 使 用 生成 的 序列 。 当 用 户 第 i 次 登录 时 ,服务 端 用 单 向 函数 计算 收 到 的 验证 码 , 并 与 上 
次 保存 的 第 i 一 1 个 验证 码 比 较 , 以 判断 用 户 的 合法 性 。 客 户 端 按 序 使 用 口令 序列 ,而 服务 
端 只 需 记 录 最 新 一 次 成 功 登录 所 用 的 验证 码 。 但 是 ,由 于 口令 数 是 有 限 的 ,用 户 登录 次 后 
必须 重新 初始 化 口令 序列 , 且 客 户 端 和 服务 端 应 始终 保持 同步 。 

【客户 端 】 -ia | 【服务 端 ] 
客户 端口 令 序列 服务 端 记录 变化 

万 十 -| 第! 次 认 证 ”|| 加 | 此 钱 [ 初始 
人 记录 
pn | 二 第 次 人 下 <[ 站 项 落 -[ 思 |- 二， 4 
各] 
py 


第 3 次 认证 sD sald 有 = 


二 人 -| 
J 第 x-1 次 认证 H Ow hohe -| hh 


Ry 


J]|- 守 = 人 人 = La | hi 上 -一 -In 1 
必 Sy ! 
HD) 1 
Oe J 
用 户口 令 128b 
password 上 一 ~MD4 一 下 四 dz 服务 端 生成 种 子 
上 人 seed 


图 16.7 口令 序列 技术 原理 
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(2) 智能 ( 令 牌 ) 卡 (Token Card)。 采 用 类 似 计算 器 的 小 卡片 (或 卡片 式 设备 ) 计 算 一 次 
性 口令 。 如 果 采 用 挑战 /回答 方式 ,卡片 配备 有 数字 按键 ,便于 输入 挑战 值 ; 如 果 采 用 时 间 
同步 方式 ,该 卡片 每 隔 一 段 时 间 就 会 重新 计算 口令 。 有 些 卡片 还 带 有 PIN 码 保护 机 制 。 

(3) 软件 令 牌 (Soft Token)。 用 软件 代替 硬件 ,但 限定 软件 安装 运行 的 计算 机 设备 .用 
户 登录 的 地 点 (IP 地 址 或 Mac 地 址 ) 等 。 软 件 本 身 也 需要 操作 口令 保护 。 

(4) IC 卡 或 USB 棒 。 在 IC 卡 或 USB 棒 上 存储 用 户 的 秘密 信息 ,这样 用 户 在 登录 时 就 
不 用 记忆 自己 的 秘密 口令 了 。 

为 了 方便 用 户 登 录 并 访问 不 同 的 网 络 信息 系统 ,可 采用 统一 认证 (Uniform 
Authentication) 和 单 点 登录 (Single Sign-on,SSO) 技 术 。 两 者 的 共同 点 是 用 户 只 需要 一 个 
账号 , 即 可 登录 不 同 的 系统 ,不 用 记忆 多 个 账号 的 用 户 名 和 口令 。 不同 点 是 : 统一 认证 方式 
下 ,用户 每 打开 一 个 新 系统 ,都 需要 重新 进行 认证 ,适合 用 于 Internet 上 不 同 的 网 站 ,这 些 网 
站 已 签订 协议 支持 统一 认证 ; 单 点 登录 方式 下 ,用 户 只 需 登 录 一 次 , 即 可 在 不 同系 统 间 切 
换 , 不 需要 重新 认证 ,适合 于 同一 网 站 的 不 同 子 系统 (或 频道 ) 间 使 用 。 


16.2.2 VLAN 


虚拟 局 域 网 (Virtual Local Area Network,VLAN) 是 从 逻辑 (协议 ) 上 对 网 络 资源 和 网 
络 用户 按 照 一 定 原则 进行 的 划分 。 把 一 个 物理 网 络 划分 成 多 个 小 的 逻辑 网 络 ,形成 各 自 的 
广播 域 , 即 成 为 VLAN。 例 如 , 几 个 部 门 共 同 使 用 一 个 中 心 交 换 机 ,各 个 部 门 可 划 归 不 同 的 
VLAN。 男 一 方面 ,也 可 以 将 一 组 位 于 不 同 网 段 ( 子 网 ) 上 的 用 户 在 逻辑 上 归属 到 一 个 
VLAN 内 ,在 功能 和 操作 上 与 LAN 基本 相同 。 

VLAN 标准 由 IEEE 802. 1q 定义 。 如 B 
图 16.8 所 示 , VLAN 协议 包含 4B 的 标签 头 : ! 


MAC 目 的 地 址 (6B) 


2B 的 标签 协议 标识 (Tag Protocol Identifier， : MAC 源 地 址 (6B) 

TPID) 和 2B 的 标签 控制 信息 (Tag Control jr0 VLAN 标 签 协 议 标识 (TPID) ”| 兼容 MAC 
Information,TCD) , 插 在 MAC 帧 的 源 地 址 字段 “+1 固定 为 0x8100 类 型 字段 
和 长 度 / 类 型 字段 之 间 。TPID 兼容 MAC 长 度 /，i+2 | 优先 级 ”|CFI 二 

类 型 字段 ,固定 为 0x8100( 数 值 大 于 0x0600, 因 VLAN 标 识 符 VID(12b) 

此 表示 类 型 ,不 是 长 度 ); TCI 由 3b 优先 级 字 六 A 

段 ( 如 表 16.2 所 示 )、 规 范 格式 指示 符 CFI(1b) 图 16.8 VLAN 报 文 格式 


和 VLAN 标识 符 VID(12b) 组 成 。 
表 16.2 以 太 网 CoS 编码 


业务 类 型 业务 特征 CoS 协议 举例 
Network Control 适用 于 网 络 维护 与 管理 报 文 的 可 靠 传输 ,要 求 低 7 BGP.PIM.SNMP 
丢 包 率 
Internetwork Control 适用 于 大 型 网 络 中 区 分 于 普通 流量 的 网 络 协议 6 STP.OSPF.RIP 
控制 报 文 ,要 求 低 丢 包 率 和 低 时 延 
Voice 适用 于 语音 业务 ,一 般 要 求 时 延 小 于 10ms 5 SIP.MGCP 
Video 适用 于 视频 业务 ,一般 要 求 时 延 小 于 100ms 4 RTP 


Critical Applications 适用 于 要 求 确保 最 小 带宽 的 业务 3 NFS.RPC 
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续 表 
业务 类 型 业务 特征 CoS 协议 举例 
Excellent Effort 比 Best Effort 的 传输 优先 级 稍 高 ,用 于 一 般 的 信 2 SQL 
息 组 织 向 最 重要 的 客户 发 送信 息 
Best Effort 默认 使 用 的 业务 类 型 ,无 优先 发 送 的 要 求 ,只 要 1 HTTP.IM 
求 尽力 而 为 的 服务 质量 
Background 适用 于 不 影响 用 户 或 关键 应 用 的 批量 传输 业务 0 _ FTP.SMTP 


不 同 的 VLAN 间 可 制定 各 种 访问 限制 ,如 不 允许 来 自 其 他 VLAN 的 访问 ,不 允许 离开 
VLAN 的 访问 等 。 一 个 计算 机 (用 户 ) 可 同时 从 属于 不 同 VLAN, 需 分 别 遵循 相关 VLAN 
的 访问 限定 。 

VLAN 有 多 种 构造 方式 ,可 以 根据 环境 条 件 以 及 应 用 的 需要 ,有 针对 性 地 制定 VLAN 
实施 策略 。 

(1) 基于 端口 的 VLAN。 根 据 以 太 网 交换 机 的 物理 端口 来 划分 VLAN ,可 以 跨 交 换 机 
进行 。 优 点 是 定义 VLAN 成 员 非 常 简单 ,只 需 将 所 有 的 端口 都 设 定 一 遍 ; 缺点 是 如 果 
VLAN 的 某 个 用 户 离开 了 原来 的 端口 ,连接 到 了 一 个 新 的 端口 ,就 必须 重新 定义 。 

采用 按 不 同 地 理 位 置 (如 不 同 楼 层 \ 不 同 大 楼 ) 的 不 同 部 门 划 分 VLAN ,这 种 方式 特别 
简单 ,因为 往往 各 部 门 采用 单独 的 交换 机 。 

(2) 基于 MAC 地 址 的 VLAN。 根 据 每 个 主机 的 MAC 地 址 来 划分 VLAN ,所 以 也 可 
称 为 基于 用 户 的 VLAN。 优 点 就 是 当 用 户 物 理 位 置 移动 时 ,即使 移动 到 另 一 个 交换 机 ， 
VLAN 也 不 用 重新 配置 ; 缺点 是 初始 化 时 ,所 有 的 用 户 都 必须 进行 配置 ,如 果 用 户 很 多 , 配 
置 的 工作 量 非 常 大 。 此 外 ,这 种 划分 的 方法 也 导致 了 交换 机 执行 效率 的 降低 ,因为 在 每 一 个 
交换 机 的 端口 都 可 能 存在 很 多 个 VLAN 组 的 成 员 , 这 样 就 无 法 有 效 限 制 广播 包 。 如 果 网 卡 
可 能 经 常 更 换 ,VLAN 就 必须 不 停 地 更 新 。 

(3) 基于 协议 的 VLAN。 通 过 第 二 层 报 文中 的 协议 字段 ,识别 出 上 层 运 行 的 网 络 层 协 
议 , 如 IP 或 者 是 IPX。 当 一 个 物理 网 络 中 存在 多 种 第 三 层 协议 的 时 候 , 可 采用 这 种 VLAN 
的 划分 方法 。 但 是 现 有 的 系统 中 一 般 仅 有 IP, 所 以 基于 协议 的 VLAN 很 少 有 机 会 使 用 。 

(4) 基于 子 网 的 VLAN。 根 据 报 文 中 的 IP 地 址 决定 报 文 属 于 哪个 VLAN ,同一 个 IP 
子 网 的 所 有 报 文 属于 同一 个 VLAN。 优 点 是 可 以 针对 具体 应 用 的 服务 来 组 织 用 户 , 用 户 可 
以 在 网 络 内 部 自由 移动 而 不 用 重新 配置 自己 的 设备 ; 缺点 是 效率 较 低 ,因为 检查 每 一 个 报 
文 的 IP 地 址 很 耗 时 。 同 时 由 于 一 个 端口 也 可 能 存在 多 个 VLAN 的 成 员 ,对 广播 报 文 也 无 
法 有 效 抑制 。 

与 普通 的 LAN 相 比 较 ,VLAN 具有 一 定 技术 优势 ,包括 限制 广播 包 , 避 免 广播 风暴 ; 
减少 移动 和 改变 的 代价 ,可 动态 管理 网 络 ; 实现 虚拟 工作 组 ; 子 网 间 相 互 隔离 ,提高 网 络 安 
全 性 ; 增强 网 络 健壮 性 ,将 一 些 网 络 故 障 限制 在 局 部 范围 内 ; 降低 维护 成 本 。 


16.2:3. VPN 


虚拟 专用 网 (Virtual Private Network,VPN) 用 于 在 不 安全 的 网 络 环境 (如 Internet) 上 
构建 安全 的 互 连 关 系 。 
通过 专线 (电缆 .光纤 等 ) 连 接 固然 更 有 保障 ,但 造价 (或 租用 费 ) 昂 贵 .灵活 性 差 , 大 多 数 
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情况 下 并 非 最 佳 选择 。 通 过 Internet 进行 互 连 , 则 灵活 、 廉 价 得 多 , 极 大 地 发 挥 了 网 络 的 互 
连 互通 优势 。 然 而 ,Internet 毕竟 存在 许多 安全 隐患 ,严格 地 说 是 不 安全 的 环境 ,这 就 需要 
通过 一 定 的 技术 手段 ,在 Internet 基础 上 构筑 安全 的 互 连 体系 。 

VPN 采用 安全 隧道 (secure tunnel) 跨 越 Internet, 采 用 安全 协议 来 实现 安全 认证 和 数 
据 加 密 , 构 造 安全 的 数据 传输 通道 ,进而 实现 计算 机 设备 或 子 网 间 的 安全 互 连 。 

如 图 16. 9 所 示 ,VPN 安全 隧道 贯穿 Internet, 可 安全 传递 两 端 计算 机 设备 或 子 网 间 的 
信息 ,与 Internet 上 其 他 计算 机 设备 不 产生 通信 关系 ,其 他 计算 机 也 无 法 接 入 VPN 或 从 
VPN 获取 信息 ,好 比 一 条 穿越 Internet 大 海 的 海底 光缆 。 


图 16.9 VPN 安全 隧道 示意 


但 是 ,VPN 安全 隧道 并 非 像 海底 光缆 一 样 是 固定 的 ,而 是 随 Internet 路 由 而 变 。 无 论 
路 由 将 报 文 转发 到 何 处 ,总 是 位 于 安全 隧道 内 。 

企业 内 部 网 (Intranet) 是 一 种 采用 VPN 构造 的 安全 网 络 ,是 企业 (或 机 构 ) 生 产 、 办 公 、 
管理 等 经 营 活动 的 信息 化 基础 设施 。 出 于 自身 保护 的 考虑 ,企业 网 络 需要 采用 良好 的 安全 防 
范 措施 ; 出 于 网 络 互 连 和 降低 成 本 的 考虑 ,采用 Internet 组 网 技术 是 最 佳 途径 。 如 图 16. 10 所 
示 ,结合 安全 性 和 开放 性 ,采用 VPN 安全 隧道 技术 构建 的 Intranet 可 实现 单一 地 理 位 置 的 
安全 内 部 网 络 .多 个 地 理 位 置 的 子 网 络 互 连 成 为 统一 的 安全 内 部 网 络 ( 如 分 公司 .跨国 公司 ) 
以 及 Internet 终端 的 安全 接 入 (如 家 庭 办 公 、 商 务 差 旅 ) 等 多 种 需求 。 


| 
Intranet § 
A 


和 

= 终 : 让 中 了 
固定 终端 /CAN 无 线 / 移 动 终端 
i 六 这 IntranetB 


图 16. 10 Intranet 组 网 示意 


企业 外 部 网 (Extranet) 用 于 满足 企业 (或 机 构 ) 开 展 宣传 .销售 、 合 作 等 经 营 活动 的 另 一 
类 需要 。 如 图 16. 11 所 示 ,Extranet 同样 基于 Internet 并 采用 VPN 安全 隧道 技术 ,但 由 于 
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不 同 企业 Intranet 不 可 能 实现 完全 互 连 ,为 了 满足 业务 互 连 的 需求 ,采用 协商 确定 的 安全 措 
施 ,通过 Internet 实现 各 自 外 连 设备 间 的 安全 互 连 。 依 据 合 作 关系 的 变动 ,Extranet 的 成 员 
可 以 动态 调整 。 


图 16.11 Extranet 组 网 示意 


汽车 公司 需要 国内 外 许多 配件 公司 的 合作 ,例如 上 游 的 引擎 ,轮胎 .内 饰 ,电子 .钢铁 , 玻 
璃 石化, 下游 的 广告 .销售 、 维 修 、 客 服 ,各 家 企业 都 是 独立 企业 ,但 为 了 保证 配件 供应 、 售 
前 /售后 服务 准确 配合 “ 零 库 存 ” 生 产 计划 和 销售 计划 ,需要 各 个 企业 在 生产 、 仓 储 、 物 流 等 方 
面 紧密 关联 ,并 能 适应 合作 方 的 各 种 变化 。 采 用 信息 系统 进行 管理 是 必要 的 ,Extranet 既 能 
保证 快捷 .灵活 的 互 连 , 又 能 保障 信息 安全 。 

适用 于 建立 VPN 安全 隧道 的 安全 协议 有 PPTP、L2TP .IPSec 和 SSL 等 。VPN 的 构 
建 除 了 采用 基本 的 安全 隧道 技术 外 ,应 配合 使 用 PKI 等 密 钥 管理 体系 。 

VPN 在 实际 应 用 中 有 两 种 可 行 的 组 网 方案 。 

(1) 网 络 透明 方式 : 由 用 户 自行 配置 VPN 设备 和 系统 ,ISP 及 Internet 只 提供 普通 的 
IP 互 连 服务 。 

(2) 用 户 透明 方式 : 由 ISP 提供 VPN 服务 ,用 户 端 使 用 普通 IP 互 连 设备 。 


16.3 被 动 式 安全 防范 


16.3.1 网 页 防 算 改 


Internet 网 站 经 常会 发 生 受到 攻击 、 网 页 被 自 改 的 情况 (俗称 网 站 被 黑 )。 由 于 网 站 的 
安全 防范 体系 存在 缺陷 ,使 Web 服务 器 管理 权限 被 接管 ,攻击 者 就 可 以 长 驱 直 入 ,远程 修改 
Web 服务 器 上 存储 的 HTML 文件 ,例如 网 站 首页 文件 index. html, 然 后 随心 所 和 欲 地 修改 任 
意 部 分 , 换 成 任何 内 容 , 达 到 算 改 网 站 网 页 的 目的 。 

引起 网 页 被 算 改 的 原因 可 能 包括 管理 账号 密码 被 攻破 ; 服务 器 操作 系统 存在 安全 漏洞 
并 且 没 有 及 时 打 补 丁 ; 应 用 系统 遭 到 注入 式 攻击 ; 系统 被 植 和 人 木马 或 其 他 恶意 代码 。 

网 页 防 纂 改 系统 则 专门 设计 用 于 防止 网 站 网 页 被 算 改 行为 ,一 旦 发 现 文件 有 任何 修改 
的 迹象 ,立即 予以 恢复 。 因 此 ,网 页 防臭 改 本 质 上 是 一 种 文件 保护 措施 ,但 由 于 Web 文件 经 
常会 更 新 ,普通 的 静态 的 文件 保护 无 法 满足 需要 。 

如 图 16. 12 所 示 ,网 页 防 自 改 系统 部 署 于 网 站 内 容 发 布 服务 器 与 网 站 Web 服务 器 ( 集 
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群 ) 之 间 , 也 可 作为 内 容 发 布 服务 器 应 用 系统 的 一 部 分 。 

网 页 防 自 改 系统 主要 采用 以 下 技术 对 Web 服务 器 上 的 所 有 HTML 文件 和 相关 脚本 、 
图 片 .视频 等 文件 进行 严格 检查 。 

(1) 所 有 文件 更 新 并 发 布 时 ,采用 数字 签名 技术 ; 当 文 件 因 访 问 需要 而 被 调用 时 ,使 用 
数字 签名 检查 是 否 有 改变 。 

(2) 监测 用 户 URL ,防止 注入 式 攻 击 。 

(3) 定时 轮 询 检查 所 有 已 发 布 的 文件 的 完整 性 ,并 检查 是 否 有 未 知 的 新 增 文件 。 

(4) 检测 Web 服务 器 运行 情况 ,包括 负载 情况 ,带宽 占用 情况 、 活 跃进 程 以 及 系统 操作 
日 志 , 以 便 及 时 发 现 异常 状况 。 

如 果 发 现任 何 文件 有 改动 ,立即 使 用 原始 备份 进行 替换 (恢复 ), 并 进行 重点 监测 ,防止 
文件 被 重新 修改 ,同时 向 系统 管理 员 发 出 报警 。 如 果 修 复 无 效 , 可 采取 断 开 相关 服务 器 网 络 
接口 等 措施 。 


Pre Web 网 站 
内 容 发 布 页 防 有 
服务 器 ed 服务 器 集群 


1 六 


内 网 DMZ |Internet 


> 


图 16.12 网 页 防 算 改 系统 部 署 示 意 


16.3.2 入 侵 检 测 


入 侵 检 测 系 统 (Intrusion Detection System,IDS) 是 用 于 在 内 部 网 络 上 探测 和 发 现 网 络 
入 侵 活 动 的 系统 ,是 动态 安全 防范 的 核心 技术 之 一 。 如 图 16. 13 所 示 , 相 比 操作 系统 加 固 技 
术 、 防 火 墙 隔离 技术 等 静态 安全 防御 技术 对 网 络 环境 下 日 新 月 异 的 攻击 手段 缺乏 应 变 能 力 
的 缺陷 ,基于 最 新 的 可 适应 网 络 安全 技术 和 P2DR(Policy Protection Detection Response) 
安全 模型 的 IDS 可 以 深入 地 解析 入 侵 事件 .和 人 侵 手 段 及 被 入 侵 目 标的 漏洞 等 ,及 时 发 现 和 
报告 可 能 的 入侵 现 象 , 并 与 其 他 网 络 安全 设备 联动 ,实施 拦截 。 


了 % 
We AN 
/主机 芝 
1 
! 1 长 上 -一 报告 /警示 
\ 
\、 网络 We 
人 一 一 告警 / 搓 夫 
、 A 


图 16.13 ” IDS 工作 原 理 示 意 


IDS 采集 信息 的 手段 是 在 网 络 信息 系 统 中 部 署 软 件 或 硬件 探 针 (probe) ,对 于 不 适合 安 
装 探 针 的 设备 ,可 采用 智能 代理 (agent)。 多 台 设 备 可 合用 一 个 探 针 。 探 针 起 到 类 似 传感器 
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的 作用 ,负责 实时 搜集 各 种 操作 信息 ,特别 是 网 络 访问 的 有 关 信 息 , 如 源 与 目的 IP 地址 、 时 
间 用户 账号 .操作 序列 .访问 资源 .流量 等 ,汇总 到 IDS 控制 台 (console) 或 管理 中 心 ,经 过 
数据 分 析 , 可 以 得 到 网 络 访问 的 行为 模式 ,并 进行 分 析 判 定 (如 图 16. 14 所 示 ) 。 


IDS 控 制 台 


硬件 探 针 Intranet - -一 


软件 探 针 
2 ( 进 和 ) 


路 由 器 /防火 墙 


其 他 探 针 
图 16.14 IDS 体系 结构 示意 
如 图 16. 15 所 示 ,IDS 系统 由 模式 匹配 机 、 系 统 剖 析 引 擎 .异常 检测 器 、 响 应 和 恢复 机 人 制 
以 及 入 侵 模 式 库 等 模块 组 成 ,也 可 根据 不 同 的 技术 类 型 选择 部 分 模块 。 系 统 分 析 的 结果 被 
保存 到 数据 库 中 随时 备查 。 


数据 源 


(Data Source) 


I 


模式 匹配 机 
(Pattern Matcher) 


系统 剖析 引擎 
(Profiling Engine) 


异常 检测 器 
(Anomaly Detector) 


响应 和 恢复 机 制 
(Countermeasure Mechanism) 


图 16.15 IDS 通用 模型 


IDS 主要 研究 人 侵 行为 的 过 程 与 行为 特征 ,从 分 析 方式 上 主要 分 为 两 种 技术 类 型 。 

(1) 模式 发 现 技 术 。 假 定 所 有 入 侵 行为 和 手段 (及 其 变种 ) 都 能 够 表达 为 一 种 模式 或 特 
征 , 那 么 所 有 已 知 的 入 侵 方 法 都 可 以 用 匹配 的 方法 发 现 。 模 式 发 现 的 关键 是 如 何 表 达 入 侵 
的 模式 ,把 真正 的 入 侵 与 正常 行为 区 分 开 来 。 模 式 发 现 的 优点 是 误 报 少 ,局 限 是 它 只 能 发 现 
已 知 的 攻击 ,对 未 知 的 攻击 无 能 为 力 。 

(2) 异常 发 现 技术 。 假 定 所 有 人 侵 行为 都 是 与 正常 行为 有 差异 的 。 如 果 建 立 系 统 正 常 
行为 的 轨迹 ,那么 理论 上 可 以 把 所 有 与 正常 轨迹 不 同 的 系统 状态 视 为 可 疑 企图 。 对 于 异常 
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闵 值 与 特征 的 选择 是 异常 发 现 技 术 的 关键 。 例如 ,通过 流量 统计 分 析 将 异常 时 间 的 异常 网 
络 流量 视 为 可 疑 。 异常 发 现 技术 的 局 限 是 并 非 所 有 的 入 侵 都 表现 为 异常 ,甚至 可 能 被 攻击 
者 “训练 "而 规避 。 

实际 应 用 的 和 人 侵 检 测 系统 主要 以 较为 成 熟 和 可 靠 的 模式 发 现 技术 为 主 ,适当 运用 异常 
发 现 技 术 。 

IDS 从 实现 方式 上 分 为 两 种 : 基于 主机 的 IDS 和 基于 网 络 的 IDS。 一 个 完备 的 IDS 一 
定 是 基于 主机 和 基于 网 络 两 种 方式 兼备 的 分 布 式 系 统 。 另 外 ,能 够 识别 的 和 人 侵 手 段 的 数量 
多 少 . 最 新 人 侵 手 段 的 (模式 ) 更 新 是 否 及 时 等 都 是 评价 IDS 性 能 的 关键 指标 。 

新 一 代 的 入 侵 防 范 系 统 (Intrusion Preventing System,IPS) 是 从 IDS 的 基础 上 发 展 而 
来 ,更 强调 主动 介入 式 的 安全 保护 。 


16.3.3 安全 审计 


安全 审计 (Security Audit,SA) 系 统 与 IDS 在 防范 功能 、 技 术 原 理 . 系 统 结构 等 方面 都 
非常 相似 ,但 SA 主要 从 事 网 络 信息 的 静态 .事后 的 分 析 工 作 , 正 因为 如 此 ,SA 具有 独特 的 
优势 ,可 以 进行 海量 信息 的 分 析 , 数 据 分 析 也 能 更 为 深入 和 细致 。 此 外 ,SA 还 能 够 进行 回 
顾 性 分 析 ,使 用 最 新 的 分 析 模 型 对 原 有 技术 条 件 下 曾 判别 为 干净 的 记录 重新 进行 安全 隐患 

SA 可 以 对 日 志 、 系 统 文件 等 大 量 数据 进行 分 析 , 除 了 采用 模式 匹配 方法 外 ,还 可 以 采 
用 数理 统计 分 析 ,数据 完整 性 分 析 等 技术 手段 。 

统计 分 析 方 法 首先 给 系统 对 象 ( 如 用 户 、 文 件 、 目 录 和 设备 等 ) 创 建 一 个 统计 描述 ,统计 
正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 .操作 失败 次 数 和 延 时 等 )。 测 量 属性 的 平均 值 将 
被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范围 之 外 时 ,就 认为 有 入 侵 发 生 。 
具体 的 统计 分 析 方 法 有 基于 专家 系统 的 、 基 于 模型 推理 的 和 基于 神经 网 络 的 分 析 方 法 。 

完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 包 括 文件 和 目录 的 内 容 及 属性 ,在 发 
现 被 更 改 的 、 被 木马 化 的 、 被 病毒 感染 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 利 用 数字 摘要 
技术 ,能 识别 哪怕 是 微小 的 变化 。 其 优点 是 不 管 模式 匹配 方法 和 统计 分 析 方 法 能 否 发 现 和 人 
侵 , 只 要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 ,都 能 够 被 发 现 。 可 以 在 每 一 天 的 
某 个 特定 时 间 内 开启 完整 性 分 析 模 块 ,对 网 络 系统 进行 全 面 扫描 检查 。 

在 IDS 和 SA 系统 应 用 中 ,经 常 部 署 攻 击 陷阱 (attacking trap) ,以 诱 使 网 络 安全 攻击 进 
入 预 设 的 目标 , 既 起 到 转移 注意 力 的 作用 ,防止 真正 的 数据 被 窃取 或 破坏 ,又 可 以 通过 特别 
预 设 的 监控 程序 及 时 发 现 攻击 行为 ,并 进一步 跟踪 和 寻找 攻击 源 。 例 如 ,部署 看 上 去 比 其 他 
主机 更 像 核心 服务 器 的 设备 ,开设 具有 通用 的 管理 员 账 户 名 称 的 虚假 管理 员 账 户 ,存放 显得 
很 有 价值 的 杜撰 用 户 信息 列表 文件 或 数据 库 等 。 相 对 于 网 络 安全 威胁 中 常用 的 陷阱 攻击 手 
法 ,攻击 陷阱 策略 可 以 看 做 是 以 其 人 之 道 还 治 其 人 之 身 的 做 法 ,符合 兵 不 大 诈 的 用 兵 之 道 。 
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17.1 元 余 技 术 原 理 


宛 余 (redundancy) 技 术 是 一 项 有 趣 的 技术 。 完 余 不 是 指 多 余 、 重 复 、 浪 
费 或 可 有 可 无 ,但 它 确 实 需要 依赖 一 个 或 多 个 副本 。 当 然 , 元 余 并 非 复制 自 
身 那 么 简单 ,重点 是 具备 后 续 的 、 可 恢复 的 手段 。 

元 余 是 必要 的 。 硬 件 的 失效 ,软件 的 错误 ,设备 的 老化 ,线路 的 中 断 ,都 
有 可 能 导致 连接 的 失败 ,数据 的 丢失 。 只 有 一 定 的 元 余 , 才 有 可 能 在 故障 、 灾 
难 发 生 时 或 事后 进行 补偿 和 复原 。 例 如 , 写 这 本 书 时 ,需要 经 常 复制 文档 , 虽 
然 占 用 了 一 定 的 存储 空间 ,但 不 再 担心 文件 损坏 ,因为 这 是 经 常 发 生 的 事情 。 
而 且 , 最 好 把 副本 保存 在 优盘 里 ,防止 电脑 损坏 而 全 部 工作 泡汤 ,否则 就 是 九 
梦 了 。 此 外 ,元 余 也 是 扩展 的 需要 。 一 个 好 的 设计 需要 考虑 适当 的 余地 ,就 
是 发 展 空 间 , 这 样 才 能 保证 在 需求 扩张 的 时 候 从 容 应 对 。 

一 个 优质 服务 的 大 饭店 的 客房 不 能 总 是 100% 被 占 满 ,否则 就 无 法 满足 
一 些 突然 出 现 的 VIP 贵宾 的 要 求 ,而 惹 怒 常客 绝对 是 一 件 蠢事 。 

建筑 设计 中 ,应 力 的 计算 可 以 很 精确 ,但 最 后 的 设计 图 纸 上 总 是 保留 很 
大 的 保险 系数 。 相 信 没 人 愿意 果 在 一 幢 受 力 处 于 临界 值 的 楼 房 中 。 

远洋 船只 上 带 的 食物 和 水 也 要 有 较 多 的 宽 余 度 , 天 有 不 测 风云 , 谁 也 无 
法 预料 意外 情况 ,保障 安全 和 健康 是 第 一 位 的 。 谁 能 保证 船 到 码头 刚好 吃 完 
最 后 一 个 钢 头 , 喝 光 最 后 一 滴水 ? 

另 一 个 好 的 例子 是 : 911 灾难 发 生 后 ,有 一 家 在 世贸 中 心 大 厦 有 办 公 机 
构 的 公司 很 快 就 恢复 了 所 有 客户 的 资料 ,并 以 最 快 的 时 间 全 面 投入 正常 运 
作 。 这 就 是 元 余 ( 备 份 ) 的 威力 。 

备份 (backup) 是 一 种 容 灾 和 恢复 (disaster recovery) 措 施 。 在 人 为 的 (人 
祸 ) 或 不 可 抗拒 的 灾害 (天 灾 ) 发 生 时 能 够 尽快 复原 ,避免 更 大 的 损失 ,防止 灾 
难 蔓延 。 

网 络 与 信息 系统 需要 保障 数据 传输 的 完整 性 ,准确 性 、 可 靠 性 、 安 全 性 和 
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高 效 性 ,因此 ,系统 设计 的 各 个 方面 经 常 运用 元 余 技 术 。 本 章 主要 讨论 路 径 元 余 、 设 施 元 余 、 
存储 元 余 和 数据 元 余 四 种 类 型 。 
思考 : 计算 机 系统 中 的 Cache 是 否 属 于 宛 余 技 术 ? 


17.2 路 径 元 余 


路 径 泛 指 计算 机 网 络 中 数据 的 传递 通路 。 在 物理 上 ,数据 传输 的 路 径 为 传输 媒介 ,或 称 
线路 ; 在 逻辑 上 ,数据 传输 的 路 径 就 是 路 由 。 


17.2.1 线路 元 余 


线路 元 余 有 多 种 策略 ,其 目的 都 是 当 其 中 一 条 线路 发 生 故 障 ( 如 中 断 ) 而 不 能 提供 传输 
服务 时 ,由 元 余 ( 备 份 ) 的 线路 来 承担 通信 任务 。 

除了 考虑 网 络 布 线 时 的 元 余 度 ,为 网 络 扩容 和 技术 升级 做 准备 ,线路 备份 应 优选 不 同 走 
向 的 线路 作为 相互 备份 ,才能 保障 备份 的 有 效 性 。 这 是 由 线路 发 生 故障 的 特点 所 决定 的 , 例 
如 一 同 被 挖 断 ,一 同 被 盗窃 ,一 同 老化 失效 ,一 同 受 外 界 干扰 等 。 

备份 一 般 有 冷 备 (Cold Backup) 和 热 备 (Hot Backup) 之 分 。 冷 备 是 指 备 份 线路 平时 并 
不 工作 (参与 通信 ) ,只 有 当主 线路 失效 时 , 才 启 动 使 用 备份 线路 ; 热 备 是 指 主 、 备 (或 互 为 主 
备 ) 线 路 一 起 工作 ,任意 一 条 线路 失效 都 不 影响 通信 的 正常 进行 (但 通信 能 力 可 能 降低 ) 。 

实际 上 , 热 备 也 可 以 采取 不 同 策略 : 第 一 种 是 主 、 备 线路 共同 承担 通信 流量 ,起 到 负载 
均衡 (Load Balance) 的 效果 ; 第 二 种 是 主线 路 工作 ,而 备 线路 上 并 不 传输 数据 ,除非 主线 路 
发 生 故 障 (注意 与 冷 备 方 式 的 区 别 ); 第 三 种 是 两 条 线路 分 别 为 不 同 的 子 网 工作 , 当 其 中 一 
条 线路 故障 时 , 另 一 条 线路 同时 为 两 个 子 网 服务 (如 图 17. 1 所 示 )。 


图 17.1 跨 网 互 备 线路 策略 示意 


主 、 备 线路 的 切换 有 自动 切换 、 人 工 切 换 两 种 方式 。 自 动 切换 由 设备 监视 和 判断 故障 状 
态 , 自 动 启用 备份 线路 ; 人 工 切 换 则 依赖 操作 员 更 换 线路 (或 接口 )。 热 备 方式 一 般 以 自动 
切换 为 主 , 冷 备 方式 以 人 工 切换 为 主 。 

线路 元 余 应 区 别 内 部 网 络 的 线路 和 外 部 网 络 的 线路 。 在 内 部 网 络 ( 通 常 是 局 域 网 ) 中 ， 
线路 保护 比较 容易 ,线路 元 余 以 规模 扩展 、 性 能 提升 为 主要 目的 ,当然 在 一 些 重要 的 信息 系 
统 中 ,也 需要 宛 余 线路 用 以 更 好 地 保障 系统 的 可 靠 性 ; 在 接 入 Internet 线路 或 在 城 域 范围 
构造 网 络 方面 , 则 有 不 同 的 线路 备份 要 求 。 我 们 主要 关注 Intranet 构建 和 Internet 接 入 , 讨 
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论 以 下 几 种 典型 的 线路 备份 方案 。 

1. 拨号 网 络 备份 

如 果 网 络 使 用 专线 (或 称 租用 线 ) 方 式 接 入 Internet 或 进行 网 络 互 连 ,如 FR 专线 、 光 纤 
等 , 则 可 以 采用 低速 拨号 线路 作为 备份 方式 。 

(1) PSTN 电话 网 Modem 拨号 上 网 ( 需 ISP 提供 服务 ) ,带宽 三 56Kb/s。 

(2) ISDN 拨号 上 网 或 专线 互 连 ,带宽 为 64Kb/s 或 128Kb/s。 

办 公 室 或 家 庭 通过 ADSL .CableModem 等 方式 接 和 人 Internet, 也 可 以 采用 拨号 网 络 作 
为 备份 通道 ,应 对 网 络 服务 中 断 情况 。 

2. 跨 运营 商 备份 

元 余 备 份 线路 的 选择 应 以 相关 性 较 低 为 原则 。 

通常 认为 ,同一 运营 商 ( 或 ISP) 提 供 的 多 种 接 入 方式 具有 的 关联 性 太 强 , 即 共性 的 成 分 
太 高 ,不宜 作 为 相互 的 备份 ,而 应 选择 独立 性 强 的 不 同 服务 提供 商 ( 如 图 17. 2 所 示 )。 


图 17.2 跨 运营 商 备份 线 路 示意 


3. 无 线 通信 备份 

使 用 无 线 通 信和 方式 作为 备份 是 个 很 好 的 选择 ,对 有 线 通信 和 网络 是 一 种 良好 的 补充 ,避免 
发 生 线 路 物理 中 断 的 故障 。 然 而 目前 商用 的 无 线 通信 接 入 服务 相对 较 少 ,而 且 比 较 昂贵 ,这 
对 于 备份 线路 而 言 是 不 利 的 。 

可 选 的 无 线 接 入 方式 包括 Satellite、 WLAN/WiFi、 WiMax、GPRS/CDMA1x、CDPD 
等 。 发展 中 的 3G 或 4G 网 络 也 可 以 成 为 较 好 的 无 线 接 入 方式 的 选择 。 

4. 环 路 技术 备份 

环 路 构造 技术 虽然 不 一 定 增 加 双 份 的 线路 , 却 能 带 来 很 好 的 元 余 备 份 效 果 , 因 此 是 一 种 
较 好 的 技术 方案 。 如 图 17. 3 和 图 17.4 所 示 , 环 路 构造 技术 分 单 环 和 双环 两 种 方法 ,都 能 够 
有 效 地 提高 网 络 系统 的 容 灾 能 力 。 当 通信 线路 在 任何 一 点 发 生 故 障 , 都 不 会 影响 网 络 系统 
的 畅通 。 但 环 路 技术 的 运用 需要 受 网 络 技术 和 网 络 设备 是 否 支持 的 限制 ,所 以 应 用 场合 受 
到 一 定局 限 。 
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图 17.4 ”双环 容 灾 原理 


17.2.2 路 由 宛 余 


路 由 宛 余 在 一 定 程 度 上 和 线路 元 余 相 同 , 都 是 为 数据 通信 提供 备份 机 制 ,保持 在 故障 情 
况 下 的 通信 和 能力。 但 路 由 元 余 是 虚拟 的 (人 逻辑 的 ) 路 径 构造 , 它 建立 在 线路 元 余 的 基础 上 , 没 
有 线路 元 余 , 就 不 可 能 有 路 由 完 余 ,因此 可 以 沿用 线路 宛 余 的 思想 和 技术 ,而 路 由 宛 余 也 具 
有 自身 所 特有 的 技术 思路 。 

首先 ,路 由 元 余 应 当 防 止 循环 路 由 的 情况 发 生 ( 如 图 17. 5 所 示 )。 一 般 通 过 路 由 协议 的 
生成 树 算法 来 避免 路 由 死 循 环 和 路 由 振荡 。 


一 一 物理 线路 
-二 路 由 选择 - 


图 17.5 循环 路 由 示意 


其 次 ,如 图 17.6 所 示 , 应 分 析 并 避免 假 性 元 余 路 由 , 即 在 故障 情况 下 无 法 承担 备份 使 命 
的 路 由 构造 。 不 过 ,从 线路 和 设备 可 靠 性 角度 来 分 析 , 可 以 允许 * 部 分 元 余 ” 的 元 余 路 由 , 即 
只 对 容易 发 生 故 障 的 网 络 区 域 规划 的 元 余 路 由 。 

构造 元 余 路 由 的 基础 是 在 物理 连接 上 建立 生成 树 (spanning tree)。 如 图 17. 7 所 示 , 生 
成 树 算法 旨 在 充分 利用 多 个 路 由 (转发 ) 选 择 , 创 立 一 个 有 方向 性 的 、 无 回路 的 逻辑 关系 。 数 
据 报 文 即 可 以 通过 生成 树 形 成 的 脉络 进行 有 序 的 流动 。 在 生成 树 中 ,每 个 结 点 就 是 路 由 器 
(网 关 )。 在 生成 树 中 ,每 个 结 点 拥有 以 自身 为 根 结 点 (root) 的 子 树 ,是 整个 生成 树 的 一 
部 分 。 
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了 二 三 三 
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-- 一 路 由 选择 1 本 SS 和 NT 
路 由 选择 2 假 作 宛 余 路 由 部 分 区 域 宛 域 余 路 由 


图 17.6 假 性 宛 余 路 由 和 部 分 宛 余 路 由 原理 


~ 


器 固 - 一 这 
图 17.7 生成 树 示意 


17.3 设施 元 余 


在 一 些 对 可 靠 性 比较 敏感 的 网 络 系统 设计 中 ,部 署 元 余 设备 是 行 之 有 效 的 方法 ,如 宛 余 
的 服务 器 .元 余 的 交换 机 等 。 为 提高 设备 (通常 指 比较 昂贵 的 设备 ) 的 利用 率 , 宛 余 设备 同时 
也 起 到 负载 均 衔 的 作用 。 宛 余 设 备 间 的 控制 关系 及 采用 的 相关 技术 ,与 线路 宛 余 技 术 有 一 
定 相似 之 处 。 

为 及 时 相互 了 解 其 他 设备 的 工作 状态 , 宛 余 设备 往往 通过 特殊 的 心跳 线 (heartrbeat 
line) 互 连 ,形成 物理 的 ( 带 外 的 ) 或 逻辑 的 ( 带 内 的 ) 故 障 侦 测 通道 。 如 图 17. 8 所 示 ,系统 运 
行 中 ,每 个 设备 中 的 特殊 进程 或 应 用 程序 做 入 进程 不 断 向 其 他 兄弟 设备 发 送 心跳 信号 ,当然 
也 在 不 断 接收 、 侦 听 对 方 的 心跳 信号 ,一 旦 发 现 由 故障 引起 的 “心跳 停止 ", 则 可 立即 接管 对 
方 设备 的 工作 。 


图 17.8 元 余 设备 心跳 线 示意 


在 Internet 网 站 的 外 部 网 络 和 内 部 网 络 的 构造 中 ,设备 宛 余 技术 的 运用 比较 普遍 。 

一 种 常用 的 部 署 方案 是 服务 器 集群 。 采 用 大 量 的 Web 服务 器 、E-mail 服务 器 向 用 户 提 
供 服务 , 既 可 以 同时 服务 于 大 批 用 户 , 又 可 以 相互 备份 ,任意 一 台 服 务 器 故障 都 不 会 明显 影 
响 网 络 访问 。 
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另 一 种 方案 通常 适用 于 一 些 后 台 核 心 系统 ,为 双 机 元 余 系 统 ( 如 图 17. 9 所 示 )。 需 要 注 
意 的 是 ,通常 需要 对 通信 环节 上 的 每 一 个 设备 进行 元 余部 署 ,才能 真正 达到 消除 单 点 故障 的 
目的 。 


图 17.9 双 机 热 备 系统 示意 


17.4 存储 元 余 


17.4.1 RAID 


独立 磁盘 宛 余 阵 列 (Redundant Array of Independent Disks,RAID) 既 是 一 种 存储 介质 
的 组 织 技术 ,又 是 数据 可 靠 存 储 的 技术 。RAID 最 初 的 研制 目的 是 组 合 容量 小 的 廉价 磁盘 
来 代替 容量 大 的 昂贵 磁盘 ,以 显著 降低 大 批量 数据 存储 的 费用 ,同时 也 希望 采用 校 验 和 元 余 
信息 的 方式 ,牺牲 部 分 存储 空间 ,但 可 使 得 部 分 磁盘 失效 时 不 会 使 数据 受 损 , 即 提供 一 定 程 
度 的 数据 保护 ,并 且 适 当 提 升 数据 传输 速度 和 数据 访问 效率 。 

RAID 通过 专门 的 控制 器 执行 存储 数据 交互 协议 .控制 数据 的 物理 介质 存储 操作 ,管理 
存储 系统 。RAID 的 存储 介质 组 织 为 一 个 磁盘 阵列 ,纵向 称 为 块 ( 磁 盘 组 ), 横 向 称 为 条 带 
(Stripe)。RAID 可 以 达到 每 个 机 柜 512 个 磁盘 ,10TB 的 容量 ,并 提供 多 种 技术 规范 (级 
别 ), 如 RAID0~RAID7 ,一 些 规范 还 可 以 进行 组 合 , 如 RAID10、RAID50、RAID53, 适 应 不 
同 存储 需求 。RAID 各 技术 指标 明显 优 于 JBOD。 

1. RAIDO 


RAID0( 条 带 化 ,striping) 将 数据 分 成 一 定 的 大 小 的 数据 块 ,以 条 带 方式 依次 存储 到 不 
同 的 磁盘 组 中 (如 图 17. 10 所 示 )。 

RAID0 可 以 执行 并 行 读 写 操作 ,数据 吞吐 率 大 大 提高 ,各 个 磁盘 驱动 器 的 负载 也 比较 
平衡 。RAID0 不 需要 计算 校 验 码 ,易于 实现 ,磁盘 空间 的 存储 效率 最 大 (100% ) 。 

但 RAID9O 技术 的 缺点 也 很 明显 : 因为 不 提供 数据 校 验 和 宛 余 保护 ,一 旦 数据 损坏 ,将 
无 法 恢复 ; 一 个 数据 块 损坏 ,会 造成 整 批 数据 失效 ; 最 严重 的 情况 是 ,由 于 数据 都 是 分 布 在 
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不 同 磁盘 组 上 ,一 旦 一 个 磁盘 组 损坏 ,将 可 能 导致 RAID0 阵列 上 所 有 数据 全 部 丢失 。 因 此 
RAID0 适用 于 对 读 写 性 能 和 磁盘 空间 利用 率 要 求 较 高 ,但 数据 重要 性 较 低 的 应 用 。 


DiopoDsD7DsD5D4D3D2DIDo 


UO 


RAID 控 制 器 


磁盘 组 0 磁盘 组 1 磁盘 组 2 磁盘 组 3 
图 17.10 RAID0 原理 


2. RAID1 

RAID1( 镜 像 ,mirror) 将 数据 分 别 复制 到 工作 磁盘 和 镜像 磁盘 (如 图 17. 11 所 示 ), 形 成 
元 余数 据 , 因 此 磁盘 空间 利用 率 为 50%。RAID1 对 数据 写 人 时 间 会 有 轻微 影响 ,但 是 对 读 
取 操 作 没 有 任何 影响 。 


DrDaDsDiDiDaDID > 
IO 


RAID 控 制 器 


磁盘 组 1 镜像 盘 1 
> 
图 17.11 RAID1 原理 


一 旦 有 工作 磁盘 发 生 故 障 ,RAID1 自动 从 镜像 磁盘 读 取 数据 ,提高 了 数据 可 靠 性 ,适合 
对 数据 保护 要 求 较 高 的 应 用 。 两 组 以 上 的 RAID1 并 发 操作 又 称 为 RAID0 十 1。 

RAID1 技术 还 支持 热 蔡 换 (hot swap) 操 作 , 在 不 断 电 的 运行 情况 下 对 故障 磁盘 进行 更 
换 ,更 换 完毕 只 需 从 镜像 盘 上 恢复 数据 即 可 。 

3. RAID2 


RAID2 为 纠 错 海 明 码 (Hamming code) 磁盘 阵列 ,主体 思想 与 RAID3 类 似 ,将 数据 条 
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带 化 分 布 于 不 同 的 硬盘 上 ,数据 块 单位 为 比特 或 字 节 。 阵 列 中 序号 为 2 一 0,1,… 的 磁盘 
(第 1,2,4,8,…) 作 为 校 验 盘 ,存放 校 验 数据 ,其 余 的 磁盘 用 于 存放 数据 ,磁盘 数目 越 多 , 校 
验 盘 所 占 比 率 越 少 。 

由 于 海 明 码 为 一 种 错误 校正 码 (Error Correction Code,ECC) ,因此 RAID2 可 以 在 数据 
发 生 错 误 的 情况 下 自动 修正 错误 ,以 保证 正确 的 输出 。 

RAID2 在 大 数据 量 存储 情况 下 性 能 很 高 ,但 技术 实施 较为 复杂 ,因此 实际 应 用 较 少 ,已 
被 RAID3、RAID4、RAID5 取代 。 

4. RAID3 

RAID3( 带 奇偶 校 验 码 的 并 行 传送 ) 采 用 一 个 硬盘 组 作为 校 验 盘 , 其 余 磁 盘 组 作为 数据 
盘 , 数 据 以 b 或 B 为 单位 , 按 条 带 依次 存放 到 各 个 数据 盘 中 。 不 同 磁盘 组 上 同一 条 带 的 数 
据 做 奇偶 校 验 , 并 把 校 验 值 存放 在 校 验 盘 中 (如 图 17. 12 所 示 ) 。 


DioDoDsDIDeDsDiDiD2DIDn > 
IO 


RAID 控 制 器 


忆 为 奇偶 校 验 码 


磁盘 组 1 磁盘 组 2 
图 17.12 RAID3 原理 


当 RAID3 中 有 一 个 数据 盘 出 现 损坏 ,可 以 读 取 同 一 条 带 的 其 他 数据 块 ,然后 根据 校 验 
值 恢复 受 损 数 据 。 

RAID3 采用 并 发 读 写 方式 , 读 操 作 性 能 与 RAIDO 一 致 ,而 且 提 供 了 数据 容错 能 力 ,但 
是 ,在 写 操作 时 性 能 有 所 下 降 ,因为 每 一 次 写 操作 ,即使 是 牵扯 到 某 个 数据 盘 上 的 一 个 数据 
块 , 也 会 影响 同一 带 区 的 其 他 数据 ,需要 重新 计算 校 验 值 并 写 人 到 校 验 盘 中 ,增加 了 系统 
开销 。 

由 于 RAID3 的 校 验 盘 在 系统 进行 大 量 写 操作 时 容易 成 为 性 能 瓶颈 ,因此 比较 适用 于 侧 
重大 量 读 取 操作 的 应 用 ,例如 Web 系统 ,信息 查询 系统 、 流 媒体 系统 等 。 

5. RAID4 

RAID4( 带 奇偶 校 验 码 的 独立 磁盘 结构 ) 和 RAID3 类 似 ,不 同 的 是 ,RAID4 对 数据 的 访 
问 是 纵向 按 磁 盘 组 进行 的 ,无 须 像 RAID3 那样 ,每 一 次 W/O 操作 都 要 涉及 所 有 磁盘 组 。 但 
RAID4 在 差错 恢复 时 难度 比 RAID3 大 ,控制 器 的 设计 难度 也 较 大 ,访问 数据 的 效率 不 够 高 。 

6. RAIDS 


RAIDS 为 浮动 式 校 验 盘 的 条 带 化 存储 (striping with floating parity drive) 技 术 。 数 据 
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以 b 或 B 为 单位 ,以 条 带 化 形式 存放 ,可 以 进行 并 发 读 写 操作 ,对 写 入 数据 进行 校 验 ,在 不 
同 的 磁盘 上 存储 校 验 码 ( 如 图 17. 13 所 示 )。 当 有 一 个 磁盘 损坏 ,可 以 利用 条 带 上 的 其 他 数 
据 和 校 验 码 进行 恢复 。 


DiopoDsDrDsD5DiD3D2DIDo 


忆 为 奇偶 校 验 码 
IO 


RAID 控 制 器 


磁盘 组 1 磁盘 组 2 磁盘 组 3 
图 17.13 RAID5 原理 


由 于 RAID5 没有 固定 的 校 验 盘 , 而 是 把 奇偶 校 验 信息 均匀 地 分 布 在 阵列 所 属 的 各 个 硬 
盘 上 ,因此 在 每 块 硬盘 上 , 既 有 数据 信息 也 有 校 验 信息 。 这 一 改变 解决 了 争 用 校 验 盘 的 问 
题 , 有 利于 并 发 操作 ,提高 访问 效率 。 所 以 RAID5 既 适 用 于 大 数据 量 的 操作 ,也 适用 于 各 种 
事务 处 理 ,是 一 种 效率 .容量 .成 本 和 容错 性 能 兼顾 的 磁盘 阵列 。RAID5 技术 因 其 良好 的 技 
术 特 性 ,得 到 广泛 的 应 用 。 

7. RAID6 

RAID6( 带 有 两 种 分 布 存储 的 奇偶 校 验 码 的 独立 磁盘 结构 ) 是 对 RAID5 的 扩展 ,增加 了 
第 二 个 采用 不 同 算法 的 校 验 码 , 即 使 两 块 硬盘 同时 失效 ,也 可 以 进行 数据 恢复 , 极 大 提高 了 
数据 可 靠 性 。 然 而 ,RAID6 较 差 的 性 能 和 复杂 的 实施 方式 影响 其 投入 实际 应 用 。 

8. RAID7 

RAID7( 优 化 的 高 速 数据 传送 磁盘 结构 ) 采 用 独立 的 操作 系统 进行 存储 访问 管理 ,可 看 
做 是 一 台 存 储 计 算 机 (Storage Computer) ,与 其 他 RAID 技术 有 明显 区 别 。 


17.4.2 SAN 


存储 区 域 网 (Storage Area Network,SAN) 是 通过 专用 网 络 或 线路 (通常 是 高 速 光纤 网 
络 ) 连 接 存储 设备 和 服务 器 ( 群 ) 的 存储 系统 部 署 方式 (如 图 17. 14 所 示 )。 当 有 数据 的 存 取 
需求 时 ,可 以 经 由 SAN ,在 联网 服务 器 ( 群 ) 和 存储 设备 之 间 高 速 传输 。 

SAN 包括 以 下 三 大 类 组 件 : 服务 器 SAN 接口 和 驱动 .SAN 和 SAN 存储 设备 。 

(1) 服务 器 通过 网 卡 接 人 SAN ,实现 网 卡 的 驱动 以 及 SAN 协议 ,为 应 用 程序 或 操作 系 
统 提供 数据 存储 读 写 接口 。 服 务 器 群 组 可 以 通过 SAN 共享 存储 资源 ,数据 读 写 操作 并 不 
占用 承载 网 络 带 宽 ,也 不 占用 服务 器 计算 资源 。 

(2) SAN 为 光纤 网 络 ,采用 光纤 集线器 .光纤 交换 机 等 设备 组 网 ,保证 了 数据 传输 的 可 
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靠 性 和 数据 交换 效率 。 多 数 SAN 都 基于 FC 体系 结构 ,而 SCSI 在 FC 中 以 一 种 高 层 协议 
的 方式 出 现 ,使 服务 器 可 以 用 比较 熟悉 的 技术 访问 存储 器 。 

(3) SAN 存储 设备 则 提供 海量 的 存储 空间 、 存 储 管理 以 及 SAN 接口 ,便于 进行 管理 、 
维护 和 扩展 。 存 储 介质 的 组 织 可 以 采用 RAID 技术 。 

SAN 得 以 大 量 应 用 ,得 益 于 其 性 能 、 存 储 管理 和 可 扩展 性 上 存在 的 优势 。 典 型 的 SAN 
应 用 场合 包括 以 下 几 种 。 

(1) 数据 存 取 一 一 由 于 存储 设备 的 中 心 化 ,大 量 的 文件 服务 器 .数据库 服务 器 可 以 低 成 
本 存 取 和 共享 信息 ,同时 系统 性 能 不 会 明显 下 降 。 

(2) 存储 共享 一 一 两 个 或 多 个 服务 器 可 以 共享 一 个 存储 单元 ,这 个 存储 单元 在 物理 上 
还 可 以 分 成 多 个 部 分 ,而 每 个 部 分 又 连接 在 特定 的 服务 器 上 。 

(3) 数据 备份 一 一 通常 的 数据 备份 都 要 依赖 于 承载 应 用 的 局 域 网 或 广域网 设备 。 通 过 
使 用 SAN, 这 些 操作 可 以 独立 于 原来 的 网 络 , 从 而 能 够 提高 备份 操作 的 性 能 。 

(4) 灾难 恢复 当 灾难 发 生 时 ,使 用 SAN( 而 不 是 传统 的 磁带 ), 可 以 采用 更 多 手段 
实现 数据 的 自动 备份 。 而 且 这 种 备份 可 以 是 热 备份 形式 ,一 旦 数据 出 错 ,立即 可 以 获得 该 数 
据 的 镜像 内 容 。 

虚拟 SAN(Virtual SAN,VSAN) 技 术 可 以 在 一 个 单一 的 SAN 结构 中 创建 多 个 仿真 硬 
件 的 独立 环境 ,每 个 VSAN 都 可 以 作为 一 个 常规 的 SAN 进行 单独 分 区 ,拥有 独立 的 数据 交 
换 服务 ,相互 隔离 ,从 而 提高 SAN 的 灵活 性 、 安 全 性 、 可 扩展 性 和 灾难 恢复 能 力 。 


图 17.14 SAN 系统 结构 示意 


17.4.3 NAS 


网 络 附着 式 存 储 (Network Attached Storage, NAS) 是 一 种 专用 的 数据 存储 设备 ,因此 
也 称 为 网 络 存储 器 。 

NAS 以 数据 为 中 心 ,将 存储 设备 与 服务 器 彻底 分 离 ,集中 管理 数据 ,从 而 提高 整体 性 
能 ,降低 总 拥有 成 本 ,有 利于 数据 管理 。 与 SAN 相 比 ,NAS 服务 器 不 需要 安装 专门 的 数据 
存储 接口 ,也 不 需要 部 署 专用 的 光纤 存储 网 络 ,安装 和 使 用 十 分 便捷 。 

NAS 系统 (如 图 17. 15 所 示 ) 包 括 存储 介质 (例如 磁盘 阵列 )、 控 制 主机 和 内 符 系 统 软 
件 , 直 接连 到 业务 承载 网 络 上 ,不 再 挂 接 于 服务 器 后 端 ,增加 和 移 除 NAS 服务 器 操作 不 会 
中 断 网 络 的 运行 。 

对 照 SAN 面向 数据 块 的 存 取 操作 .NAS 更 加 适合 文件 级 别 上 的 数据 处 理 ,提供 跨 平台 
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文件 共享 ,将 相关 处 理 负荷 从 应 用 或 企业 服务 器 上 种 载 下 来 ,但 进行 数据 读 写 操作 需要 占用 
业务 网 络 带宽 资源 。 

NAS 存储 系统 相当 于 一 个 C/S 系统 架构 下 的 服务 器 ,拥有 独立 的 处 理 器 、 操 作 系 统 或 
微 内 核 ,通过 TCP/IP 网 络 交换 控制 信息 和 数据 ,运行 UNIX 系统 的 网 络 文件 系统 
(Network File System,NFS) 或 Windows 系统 的 公用 互联 网 文件 系统 (Common Internet 
File System,CIFS) 等 文件 IO 协议 ,管理 存储 系统 与 其 客户 机 之 间 的 数据 传输 。 

NAS 和 SAN 可 相互 配合 ,在 两 个 方面 提供 应 用 功能 的 互补 。 

(1) NAS 产 品 可 以 在 特定 的 SAN 中 为 文件 传输 提供 优化 的 性 能 。 

(2) SAN 可 以 扩展 为 包括 TCP/IP 在 内 的 非 存储 关联 的 网 络 协 议 。 

事实 上 ,尽管 SAN 和 NAS 存在 技术 、 操 作 上 的 差异 ,但 分 界线 正在 变 得 越 来 越 模 糊 。 


be 


人 
文 | NFS(UNIXY 
9 CIFS(Windows) 
PC NAS 存 储 设备 


图 17.15 NAS 系统 结构 示意 


17.4.4 SolP 


基于 IP 的 存储 (Storage over IP,SoIP) 是 存储 技术 和 存储 网 络 发 展 的 技术 方向 之 一 。 
IP 已 经 被 SAN 和 NAS 采用 ,网 络 应 用 的 全 球 化 趋势 也 迫使 存储 服务 能 够 走出 局 域 网 覆盖 
的 局 部 范围 ,扩展 到 Internet 上 。 

以 海量 信息 内 容 为 荣 的 Internet 历来 对 存储 业务 非常 渴求 ,不论 是 个 人 ,企业 或 服务 运 
营 商 ,都 对 Internet 存储 趋 之 若 仪 。 主 要 体现 为 两 种 类 型 的 需求 : 一 是 显 性 存储 ,对 存储 空 
间 大 小 比较 直观 和 敏感 ,有 特定 的 目的 ,如 网 络 硬盘 .个 人 相册 文件 共享 .电子 邮件 、 信 息 保 
全 等 ; 二 是 隐 性 存储 ,存储 需要 通过 网 络 应 用 系统 间接 地 反映 出 来 ,应 用 目标 的 通用 性 较 
强 , 如 银行 账 务 、 博 客 空间 、 媒 体 播放 、 软 件 租用 等 。 针 对 不 同 的 Internet 应 用 ,网 络 存储 技 
术 提 出 了 不 同 的 解决 方案 ,使 这 一 领域 十 分 活跃 ,相关 的 存储 技术 一 直 在 改进 .完善 和 创 
新 中 。 

互联 网 分 布 式 存 储 (Internet distributed storage) 并 非 指 采用 分 布 式 数 据 管理 方法 的 存 
储 系统 ,而 是 指 在 Internet 上 特有 的 P2P( 对 等 网 络 ) 存 储 模 式 。 特 别 是 海量 的 视频 、 音 频 、 
动画 、 图 片 等 多 媒体 文件 ,分 散 保存 在 网 络 用 户 的 计算 机 上 ,通过 应 用 系统 进行 内 容 聚 合 , 按 
需 提 供 高 效 的 、 就 近 的 下 载 服务 。 

虚拟 存储 (virtual storage) 是 整合 Internet 上 各 种 物理 存储 系统 ,形成 一 个 整体 ,以 标 
准 化 (或 一 致 性 ) 的 方式 ,提供 永久 保存 数据 服务 ,或 提供 能 被 用 户 调用 的 功能 ,使 存储 服务 
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成 为 Internet 重要 的 公共 基础 设施 。 

使 用 虚拟 存储 服务 的 用 户 在 获得 数据 保存 的 同时 ,并 不 需要 知道 自己 的 数据 被 保存 在 
哪里 ,是 以 何 种 方式 被 存储 的 。 虚 拟 存储 大 致 分 为 3 种 形式 : 基于 主机 或 服务 器 的 虚拟 存 
储 、 基 于 存储 系统 的 虚拟 化 和 基于 网 络 的 虚拟 化 。 不 论 哪 种 形式 ,虚拟 存储 技术 都 需要 考虑 
存储 的 可 靠 性 .访问 的 高 效 性 .操作 的 便利 性 、 容 量 的 扩展 性 功能 的 丰富 性 、 信 息 的 安全 性 、 
计算 的 移动 性 .平台 的 无 关 性 ,管理 的 有 效 性 .系统 的 容错 性 等 方面 因素 。 


17.5 数据 元 余 


随 着 计算 机 存储 代价 (每 比特 投入 ) 的 不 断 降低 ,同时 系统 数据 的 价值 越 来 越 宝贵 ,数据 
的 元 余 既 十 分 必要 ,也 有 很 大 的 可 行 性 。 

数据 元 余 ,往往 也 被 称 为 数据 备份 ,不 仅 是 把 数据 “复制 一 份 保存 ”那么 简单 。 如 果 保 存 
的 数据 是 不 完整 的 、 难 以 恢复 的 ,元 余 就 失去 了 意义 。 所 以 ,数据 元 余 是 一 个 系统 工程 ,包含 
了 从 系统 设计 数据 规划 ,数据 备份 .数据 恢复 到 数据 管理 等 各 个 方面 和 环节 。 其 次 ,数据 备 
份 工作 应 该 和 系统 性 能 优化 结合 起 来 考虑 ,在 提高 数据 抗 毁 性 ( 容 灾 能 力 ) 的 同时 ,也 提高 了 
系统 的 操作 性 能 。 

(1) 数据 冷 备 : 利用 磁盘 (磁盘 阵列 )、 磁 带 机 、 光 盘 等 存储 设备 ,实时 地 或 定时 地 备份 
系统 数据 ,在 需要 时 可 反 向 恢复 ,最 大 限度 地 减 小 由 于 “天 灾 人 祸 ” 造 成 的 数据 损毁 。 

(2) 数据 热 备 : 系统 同时 保存 和 维护 两 套数 据 副 本 ,相互 严格 同步 。 正 常情 况 下 以 其 
中 一 个 数据 库 为 主 进 行 操作 (主要 是 读 操作 ) ,而 当 一 个 出 现 故 障 时 ,可 立即 切换 到 另 一 个 数 
据 库 进行 操作 ,并 尽快 修复 故障 数据 库 。 

(3) 异地 备份 。 异 地 备份 是 数据 容 灾 工作 最 重要 也 是 最 有 效 的 手段 (如 图 17. 16 所 
示 )。 从 理论 上 说 ,两 地 相隔 越 远 ,关联 性 越 小 , 容 灾 效 果 越 佳 。 异 地 备份 可 以 选择 数据 冷 备 
或 热 备 的 方式 ,但 不 管 是 哪 一 种 类 型 ,都 需要 有 比较 高 的 系统 投入 ,尤其 是 通信 线路 条 件 的 
保障 ,应 根据 系统 需求 进行 合理 规划 。 

数据 备份 可 以 利用 数据 库 系 统 提供 的 功能 ,也 可 以 自行 设计 应 用 系统 的 控制 逻辑 , 跨 数 


据 库 实施 。 
“站 站 国 - 国 


中 央 数 据 库 
甲 地 数据 库 丁 地 数据 库 


本 地 服务 > 局， 国人 本 地 服务 
(c) 
图 17.16 数据 库 异 地 备份 示意 
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第 18 章 网 络 技术 发 展 


18.1 物 联网 


18.1.1 物 联 网 原理 


Internet 是 一 个 把 人 与 人 联系 在 一 起 的 网 络 。 然 而 ,对 于 人 类 社会 的 需 
要 ,这 似乎 显得 不 够 。 无 线 通 信 、 传 感 器 .嵌入 式 处 理 机 .电子 标签 .信息 安 
全 ,协议 和 软件 等 技术 的 发 展 , 使 得 所 有 M2M 的 连接 成 为 可 能 , 即 进 一 步 实 
现 现实 世界 中 人 与 物 (Man to Machine/Material) 、 物 与 物 的 互 连 互 通 , 这 就 
是 物 联网 (Internet of Things) 概 念 的 由 来 ,同时 也 是 物 联 网 的 应 用 目标 。 

英语 里 things 是 各 种 东西 的 总 称 , 除 了 智能 化 的 人 和 计算 机 ,也 应 该 包 
括 所 有 非 智 能 化 的 东西 ,如 桌 椅 \ 门 窗 、 家 电 、 首 路、 环境 等 。 对 非 智 能 物品 的 
智能 化 同样 是 物 联网 的 研究 范畴 。 

物 联网 技术 的 提出 不 仅 为 计算 机 网 络 拓展 了 新 的 发 展 领 域 ,而 且 为 网 络 
应 用 开辟 出 巨大 的 想象 空间 。 智 能 交通 、 智 能 家 居 、 智 能 汽车 .智能 服务 、 智 
慧 社区 .智慧 城市 等 目标 将 是 引导 网 络 技术 发 展 的 新 线索 。 

物 联网 的 核心 技术 是 电子 标签 .传感器 和 无 线 通 信 。 电 子 标签 用 于 标识 
非 智 能 体 , 使 之 拥有 独特 的 电子 身份 证 ,支持 读 取 和 记录 信息 的 功能 , 非 智能 
体 因此 具备 了 智能 ; 传感器 采用 电子 技术 感知 各 类 环境 信息 ,如 温度 湿度 、 风 
力 风向 、 开 启 关闭 .空间 位 置 等 ,实现 从 模拟 信号 到 数字 信和 号 的 转换 (A/D) 或 
进行 逆向 控制 (D/A) ,可 供 计算 机 进行 数字 化 .智能 化 处 理 ; 数字 无 线 通 信和 则 
是 各 种 信息 相互 传输 的 共性 需求 ,可 以 摆脱 线 缆 的 束缚 ,使 应 用 更 自由 、 更 灵 
活 、 更 自然 ,更 人 性 化 。 


18.1:2 RFID 


射频 标签 (Radio Frequency Identification,RFID) , 常 称 为 非 接触 卡 或 电 
子 标签 ,是 一 种 通过 无 线 通信 方式 进行 信息 读 取 和 记录 的 小 型 器 件 。 
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与 一 维 或 二 维 条 码 ,IC 卡 、. 生 物 特征 (指纹 .虹膜 ) 等 识别 技术 相 比 ,RFID 具有 免 接触 数 
据 传输 的 特点 ,避免 了 接口 易 污 损 的 缺陷 ,容易 操作 , 且 不 需要 自 带电 源 , 免 维护 ,工作 性 能 
稳定 ,可 靠 性 高 ,可 以 根据 需要 封装 为 各 种 形状 ,成 为 一 种 用 于 标识 物品 的 有 效 手 段 。 随 着 
REFID 成 本 的 不 断 降 低 ,其 应 用 面 将 逐步 扩大 ,甚至 可 以 对 每 一 样 物品 进行 标识 ,方便 了 使 
用 和 管理 。 因 此 ,RFID 成 为 智能 化 、 流 水 线 、 商 业 贸 易 、 现 代 物 流 等 物 联 网 领域 的 重要 
技术 。 

无 源 RFID(passive RFID) 的 技术 特色 在 于 无 电源 ,无线 的 工作 方式 。 读 写 器 发 送 的 电 
磁 波 能 量 一 部 分 被 RFID 转化 为 电能 ,供给 IC 运行 ,激活 的 IC 即 可 接收 无 线 信 道上 的 载波 
数据 进行 处 理 , 并 向 读 写 器 发 送 响 应 信息 。 因 此 ,RFID 一 般 以 近 距 离 .低速 率 通信 为 主 , 传 
输 数据 量 也 较 少 。 

根据 RFID 的 不 同 技术 和 结构 、 面 向 不 同 应 用 ,可 分 为 如 图 18. 1 所 示 的 多 种 类 型 。 


远 距离 


上 
高 速 移动 | (智能卡) 


安全 性 ROM 卡 | | | EEPROM 
较 高 (只 读 卡 ) | UW 卡 (可 读 写 


图 18.1 REFID 分 类 


近 距 离 RFID 卡 最 为 常用 ,工作 频率 小 于 30MHz( 如 125kHz,.13.56MHz) ,具体 可 分 为 
密 耦 合 卡 (Close-coupled IC Card,CICC) ,作用 距离 小 于 lcem; 近 耦 合 卡 (Proximity ICC， 
PICC) ,作用 距离 在 7 一 10cm; 朴 耦 合 卡 (Vicinity ICC, VICC) ,作用 距离 小 于 lm。 远 距离 
RFID 系统 可 达 1 一 10m 或 更 远 距 离 , 在 超 高 频 及 微波 范围 工作 ,如 915MHz、2. 4GHz、 
24GHz 等 。 

RFID 技术 相关 国际 标准 有 ISO/IEC 10536、14443、15693、18000 一 6 等 以 及 EPC 
global(Electronic Product Code global) 厂 商 联盟 制定 的 规范 。 

常用 的 ISO/IEC 14443 卡 有 TYPE A 和 TYPE B 两 种 类 别 ,在 信号 调制 技术 和 编码 技 
术 等 方面 有 所 差异 ,具体 影响 到 以 下 几 个 方面 。 

(1) TYPE A 的 调制 信号 区 别 明显 ,易于 检测 , 抗 干扰 能 力 强 , 但 在 每 一 比特 的 传送 ( 速 
率 为 106Kb/s 时 ,传送 周期 为 9.4ps) 中 ,有 大 约 3pws 的 信号 间 区 ,使 读 写 器 到 卡 的 能 量 供应 
中 断 ,必须 在 卡 内 电路 中 加 一 个 大 容量 电容 以 维持 一 定 的 能 量 供应 ; 而 TYPE B( 采 用 10% 
ASK) 卡 片 可 以 从 读 写 器 获得 持续 的 能 量 , 但 信号 区 别 不 明显 ,容易 造成 误 读 / 写 , 抗 干扰 能 
力 较 差 。 
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(2) TYPE A 卡片 能 量 的 中 断 会 导致 卡片 时 钟 的 中 断 , 而 回避 时 钟 中 断 问题 又 可 能 成 
为 后 门 ,让 单 步 跟踪 等 攻击 行为 有 机 可 乘 。 

(3) 当 试 图 提速 时 , 若 传送 速率 为 212Kb/s, 比 特 传送 周期 仅 为 4. 7ps, 这 种 情况 下 3ns 
的 间 软 已 大 于 传送 周期 的 60% ,车 传送 速率 为 424Kb/s, 比 特 传送 周期 仅 为 2. 35ps, 这 种 情 
况 下 3ps 的 间 吹 已 使 系统 无 法 工作 , 即 TYPE A 无 法 实现 更 高 的 传送 速率 。 

(4) TYPE A 的 防 冲 突 需要 依赖 较 精确 的 时 序 ,因此 需要 在 卡 和 读 写 器 中 分 别 配置 相 
应 的 硬件 ; 而 TYPE B 的 防 冲 突 可 以 用 软件 来 实现 。 

(5) TYPE A 产品 拥有 较 高 的 市 场 占有 率 , 且 在 较为 恶劣 的 工作 环境 下 更 有 优势 ; 
TYPE B 则 在 安全 性 、 高 速率 和 适应 性 方面 有 更 好 的 前 景 ,更 适合 于 CPU 卡 。 

以 普遍 应 用 的 ISO/IEC 14443 卡 (TYPE A) 为 例 ,无 源 RFID 的 工作 原理 和 组 成 结构 
见 图 18. 2。 


电磁 感应 
天 线 
| { t™ Clock 
ww | [ [De ope 
天 线 | 天 线 二 到 电压 te Vop 
! 图 | 调节 GND 
1 Ce 3 Data Output 


ATR Control 
EE 
Anti-Collision| |Arithmetic Unit| | 存 
Select 到 RAM |]| 筷 
Application [Ceov | 接 
Authentication 口 


& Crypto 储 
|Access Control Unit 区 


数字 模块 
(RF Interface) (Digital Section) 


调制 解 调 


OnTmm 


电压 | 上 电 复 位 
调节 || POR 


图 18.2 RFID 卡 组 成 结构 示意 


RFID 卡 的 电气 部 分 由 一 个 感应 天 线 和 一 块 RFID 芯片 组 成 。 数 据 保 存 期 为 10 年 ,可 
改写 10 万 次 , 读 无 限 次 。 卡 与 读 写 器 之 间 通 信 采 用 DES 和 AES 加 密 算 法 ,具有 较 高 的 保 
密 性 。 

工作 频率 为 f. 二 13.56 MHz; 数据 传送 速率 f./128 二 106Kb/s; 具有 防 冲突 功能 , 同 
一 时 间 可 处 理 多 张 卡 ; 读 写 距离 小 于 100mm; 采用 握手 式 半 双 工 通信 方式 ; 每 个 数据 块 有 
16b CRC 纠 错 ,每 字 节 进行 奇偶 校 验 ; 电感 看 合式 能 量 传 递 ; 芯片 采用 高 速 的 CMOS 
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EEPROM 工艺 ; 空中 接口 的 所 有 数据 均 进行 加 密 ; 每 一 扇 区 有 相互 独立 的 密码 ; 每 张 卡 有 
32b 全 球 唯一 的 序列 号 ; 每 次 会 话 过程 通 常 小 于 100ms; 抗 静 电 保护 能 力 为 2kV。 

如 图 18.2 所 示 , 卡 的 芯片 由 射频 接口 和 数字 模块 两 部 分 组 成 。 

射频 接口 为 RFID 芯片 内 部 各 部 分 电路 提供 : 工作 时 所 需要 的 能 量 ; 上 电 复 位 (Power 
On Reset,POR) 信 号 ,使 各 部 分 电路 同步 启动 工作 ; 从 载波 中 提取 的 时 钟 信号 , 供 数字 模块 
使 用 ; 发 送 和 接收 数据 的 调制 与 解 调 。 

读 写 器 对 有 效 工 作 区 域内 的 RFID 卡 发 射 激励 信号 (一 组 固定 频率 的 电磁 波 ), 卡 内 的 
LC 串联 谐振 电路 产生 共振 ,使 电容 内 积累 了 电荷 ,在 电容 另 一 端的 单 向 导 通 电子 泵 将 电容 
内 的 电荷 送 到 另 一 个 电容 内 储存 , 当 电 荷 达 到 2V 时 , 即 可 作为 电源 为 其 他 电路 器 件 供电 。 

数字 模块 主要 由 如 下 部 分 组 成 。 

(1) ATR(Answer to Request) 模 块 : 响应 读 写 器 发 出 的 Request all 命令 。 

(2) Anti-Collision 模块 : 若 有 多 张 卡 同时 在 读 写 器 天 线 的 工作 范围 内 时 ,此 模块 启动 ， 
读 写 器 获取 每 一 张 卡 的 序列 号 ,然后 选 定 一 张 卡片 。 

(3) Select Application 模块 : 确认 对 卡片 的 选择 。 

(4) Authentication & Access Control 模块 : 完成 卡片 与 读 写 器 之 间 认 证 。 

(5) Control & Arithmetic Unit(CAU) 模 块 ; 相当 于 中 央 处 理 机 单元 。 

(6) RAM: 暂 存 CAU 计算 结果 ,可 进一步 保存 到 EEPROM ,或 进行 发 送 。 

(7) ROM: 固化 卡片 运行 的 程序 指令 。 

(8) Crypto Unit: 完成 对 数据 的 加 密 处 理 及 密码 保护 。 

如 图 18. 3 所 示 , 读 写 器 向 卡 传输 信号 时 ,射频 载波 频率 f. 二 13. 56MHz, 采 用 同步 时 
序 、Modified Miller 编码 方式 ,调制 深度 为 100% 幅 移 键 控 (Amplitude Shift Keying, ASK); 
卡 向 读 写 器 传送 信和 号 时 ,使 用 的 副 载波 频率 为 f, 二 f./16 二 847kHz, 采 用 Manchester 编码 ， 
开关 键 控 (On-Off Keying,OOK) 调 制 信号。 


ey 放 i 0 1 Wa 

1 1 1 1 1 1 1 
Manchester | 1 1 1 1 1 op 

1 1 1 1 1 

1 1 1 1 1 1 

1 1 1 1 1 1 

1 1 1 1 1 1 1 

1 1 1 1 1 1 
1 1 1 1 1 

1 1 1 T T T T 

1 1 1 1 1 1 1 
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1 1 1 1 | 1 1 1 

1 1 1 1 1 1 1 1 
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上 
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Miller! 

| 
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图 18.3 RFID 3 种 编码 方式 波形 比较 


RFID 存储 器 访问 方式 如 下 。 

如 图 18.4 所 示 ,EEPROM 总 容量 为 8Kb 王 1024B, 分 为 16 个 扇 区 0 一 15 ,每 扇 区 64B 
被 进一步 分 为 4 个 块 0 一 3 ,每 块 16B。 

扇 区 0 的 块 0 为 固化 的 厂商 代码 ,保存 卡 序列 号 (SN)、 容 量 和 卡 类 型 等 信息 ,只 读 操 
作 ,不 可 改写 ,其 他 块 可 根据 设 定 的 规则 进行 独立 的 读 写 操作 。 
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| 16B 一 一 | 共 16X64B=1024B=8Kb 
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局 区 固化 厂商 代码 数据 块 数据 块 数据 块 
扇 区 1 块 0 块 1 块 2 块 3 
数据 块 数据 块 数据 块 数据 块 
扇 区 15 块 0 块 1 块 2 块 3 
数据 块 数据 块 数据 块 数据 块 
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(SN) 校 验 (size) (TagType) 
Ox0400 
当 区 块 3| 字 节 | 字 节 | 字 节 | 字 节 | 字 节 | 字 节 | 字 节 | 字 节 | 字 节 | 字 节 | 字 节 | 字 节 | 字 节 | 字 节 | 字 节 | 字 节 | 
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密 钥 A 存 取 控 制 密 钥 B 
初始 AUAIA2A3A4A5 初始 FF078069 初始 B0B1B2B3B4B5 


图 18.4 RFID 存储 空间 结构 


如 表 18.1 一 表 18. 3 所 示 , 每 扇 区 的 块 0 一 2 为 数据 块 , 块 3 为 控制 块 ,数据 块 的 读 写 操 
作 完 全 受 对 应 扇 区 的 控制 块 的 权限 控制 ,可 以 设置 为 不 可 读 ( 指 不 能 在 空中 接口 传输 ) 但 可 
写 ( 可 修改 .可 删除 ) 可 读 且 可 写 。 每 扇 区 配置 两 个 独立 的 密 钥 ,所 有 数据 存 取 操 作 都 应 首 
先 使 用 指定 密 钥 通过 相关 认证 后 才 可 继续 执行 。 
表 18.1 块 3 中 3 个 控制 位 的 位 置 


bit0 bitl bit2 bit3 bit4 bit5 bit6 bit7 

字 节 6 clb0 clbl clb2 clb3 c2b0 c2bl c2b2 c2b3 
字 节 7 c3b0 c3b1 c3b2 c3b3 clb0 clbl clb2 clb3 
字 节 8 c2b0 c2b1 c2b2 c2b3 c3b0 c3bl c3b2 c3b3 
字 节 9 备用 备用 备用 备用 备用 备用 备用 备用 
控制 位 说 明 ”人 块 0 不 块 1 个 块 2 个 块 3 个 块 0 不 块 1 个 块 2 个 块 3 


说 明 : cibj 表示 块 j 的 控制 比特 i,cibj 表示 该 比特 取 反 。 


表 18.2 控制 位 对 各 扇 区 块 0~2 的 存 取 控制 


读 写 加 值 减 值 /传送 / 重 置 
clbj c2bj c3bj 2 
(Read) (Write) (Increment) (Decrement/Transfer/Restore) 
0 0 0 keyA|IB keyA|lB keyA|B keyA|B 
0 n 0 keyA1B Never Never Never 
0 0 keyA1B keyB Never Never 
由 1 0 keyA1B keyB keyB keyA1B 
0 0 1 keyA1B Never Never keyA1B 
0 1 b keyB keyB Never Never 
0 1 keyB Never Never Never 
1 1 1 Never Never Never Never 


说 明 : cibj 表示 块 j ,j 二 0,1.2 的 控制 位 i,keyA|B 表示 密 钥 A 或 B,Never 表示 不 可 操作 。 
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表 18.3 控制 位 对 各 扇 区 块 3 的 存 取 控制 


keyA control keyB 
clb3 c2b3 c3b3 

Read Write Read Write Read Write 
0 0 0 Never keyA|lB | keyAlB Never keyAIB | keyA|B 
0 1 0 Never Never | keyA|IB | Never | keyAIB | Never 
下 0 0 Never keyB keyAlB Never Never keyB 
h 1 0 Never Never | keyAlB | Never Never Never 
0 0 1 Never keyA|lB | keyA|lB | keyAIB | keyA|B | keyAlB 
0 1 1 Never keyB keyAlB keyB Never keyB 
和 0 1 Never Never keyA1B keyB Never Never 
1 1 1 Never Never keyA1B Never Never Never 


说 明 : cib3 表示 块 3 的 控制 位 PkeyA1B 表示 密 钥 A 或 B,Never 表示 不 可 操作 。 


RFID 存 取 操 作 首 先 需要 经 过 安全 鉴别 ,防止 非法 操作 或 误 操 作 。 认 证 过 程 分 为 如 下 
五 步 。 

(1) 卡片 向 读 写 器 发 送 随 机 数 Ra 。 

(2) 读 写 器 收 到 Rs 后 向 卡片 发 送 一 个 令 牌 数据 TOKEN-As ,其 中 包含 了 用 读 写 器 中 
存放 的 密 钥 加 密 后 的 Rs 及 读 写 器 生成 的 随机 数 RA。 

(3) 卡片 收 到 TOKEN-As 后 ,用 卡 中 的 密 钥 对 TOKEN-As 中 的 加 密 数据 进行 解密 得 
到 Rs, 若 Re 一 Ra, 鉴 别 通过 ,进行 下 一 步 

(4) 卡片 再 用 卡 中 存放 的 密 钥 对 Ra 加 密 后 发 送 令 牌 TOKEN-BA 给 读 写 器 。 

(5) 读 写 器 解密 得 到 RA , 若 RA 一 RA ,鉴别 完成 。 

例如 , 块 3 中 存 取 控制 的 4B 的 初始 化 值 (厂商 初始 值 ) 为 0xFF、0x07、0x80、0x69, 则 根 
据 表 18. 1 有 clb0-c2b0-c3b0 二 000,clbl-c2bl-c3b1 二 000,clb2-c2b2-c3b2 二 000,clb3-c2b3- 
c3b3 二 001。 根 据 数据 块 存 取 控制 规则 ( 见 表 18. 2 中 的 第 一 种 情况 ), 说 明 在 初始 状态 下 用 
密 钥 A 或 B 验 证 后 ,可 以 对 数据 块 0 一 2 进行 读 、 写 、 加 值 减 值 \ 传 送 、 重 置 等 操作 ; 根据 控 
制 块 存 取 控制 规则 ( 见 表 18. 3 中 的 第 五 种 情况 ), 用 密 钥 A 或 B 验证 后 ,可 以 写 密 钥 A, 可 
以 读 / 写 控制 位 ,可 读 / 写 密码 B, 但 不 能 读 密码 A。 

芯片 EEPROM 中 的 数据 块 有 两 种 应 用 方法 : 一 种 是 用 于 一 般 的 数据 保存 ,直接 进行 
读 写 ; 另 一 种 是 作为 数值 ,可 以 进行 初始 化 .加 值 减 值 . 读 值 的 运算 。 应 用 系统 配 用 相应 的 
接口 函数 完成 所 需 的 功能 。 
Nels -GPS 

1. GPS 原理 

全 球 定 位 系统 (Global Positioning System/Service,GPS), 又 称 卫 星 定位 服务 ,是 利用 
卫星 为 行人 .设备 .车辆 .船舶 和 飞行 器 提供 方位 指示 的 服务 系统 ,以 确定 所 处 位 置 的 经 度 、 
纬度 高度. 时 间 ,并 可 据 此 计算 运行 方向 和 速度 (如 图 18. 5 所 示 )。GPS 只 是 美国 部 署 的 
卫星 定位 系统 的 名 称 , 但 其 投入 运行 最 早 , 目 前 为 唯一 全 球 服务 的 现役 系统 ,常用 GPS 来 指 
代 卫 星 定位 服务 。 

GPS 的 用 途 很 广大 到 飞机 、 船 舶 .导弹 的 导航 ,小 到 路 线 指示 汽车 防盗 ,位 置信 息 都 
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是 必 不 可 少 的 。 如 今 越 来 越 多 的 手机 平板 电脑 等 都 配备 了 GPS 模块 ,可 以 支持 基于 位 置 
的 服务 (LBS) ,今后 还 会 产生 更 多 形式 的 终端 ,更 多 种 类 的 服务 ,GPS 技术 也 将 发 挥 更 大 的 
作用 。 

GPS 是 一 种 特殊 的 无 线 通信 系统 ,虽然 卫星 之 间 、 卫 星 与 地 面 设 备 之 间 采 用 数字 无 线 
传输 技术 ,但 目的 并 不 在 于 设备 间 的 通信 ,而 是 通过 协议 数据 所 携带 的 位 置 和 时 间 信息 , 计 
算 自 身 所 处 的 方位 。 此 外 ,GPS 不 但 可 以 用 来 定位 ,还 可 以 用 来 实现 网 络 中 不 同 设备 间 的 
时 钟 同步 。 

卫星 导航 定位 系统 的 全 球 部 署 情况 如 下 。 

(1) 美国 GPS: 由 美国 于 20 世纪 70 年 代 初 开始 设计 ,1993 年 全 部 建成 。 

(2) 欧盟 伽利略 (Galileo) : 1999 年 由 欧盟 提出 计划 ,准备 发 射 30 颗 卫 星 。 

(3) 俄罗斯 格 洛 纳 斯 (Glonass): 始 于 20 世纪 70 年 代 , 截 至 2009 年 1 月 30 日 ,拥有 18 
颗 卫 星 的 格 洛 纳 斯 信号 已 可 覆盖 俄罗斯 全 境 。 

(4) 中 国 北斗 (BeiDou 或 Compass): 2003 年 5 月 25 日 北斗 一 号 卫星 成 功 定点 ,我 国 启 
动 了 自主 的 导航 卫星 系统 ,2011 年 起 已 经 可 以 在 亚太 地 区 商用 。 预 计 到 2020 年 北斗 系统 
将 覆盖 全 球 。 

美国 GPS 系统 由 24 颗 绕 极 卫星 组 成 ,分 布 在 6 个 轨道 平面 上 ,每 个 轨道 平面 4 颗 卫 
星 ,位 于 20 200km 高 空 ,轨道 倾角 为 55 , 绕 地 球 一 周 为 11h58min。 位 于 地 平 线 以 上 的 卫星 
颗 数 随时 间 和 地 点 的 不 同 而 不 同 , 最 少 可 见 4 颗 ,最 多 可 见 11 颗 ( 如 图 18.6 所 示 )。 


图 18.5 卫星 定位 导航 示意 图 18.6 GPS 卫星 分 布 示意 


GPS 地 面 控制 系统 由 一 个 主 控 站 、5 个 监测 站 和 3 个 注入 站 所 组 成 (如 图 18.7 所 示 ) 。 
主 控 站 位 于 美国 科罗拉多 州 (Colorado) 的 Spring 市 。 地 面 监测 站 负责 收集 由 卫星 传 回 的 
信息 ,经 初步 处 理 后 ,传送 给 主 控 站 ,计算 卫星 星 历 、 相 对 距离 、 大 气 校正 \ 钟 差 等 数据 ,并 通 
过 注入 站 发 送 给 卫星 。 

卫星 时 钟 频率 fo 二 10.23MHz, 在 LL 波段 的 两 个 指定 载 频 上 发 送 扩 频 信号 ,分 别 采用 两 
种 伪 随 机 码 调制 方法 : L1 频段 (154X f= 二 1575. 42MHz) 为 民用 ,波长 入 二 19. 03cm, 采 用 
低 精度 的 C/A(Coarse/Acquisition) 码 ,重复 周期 为 Ims, 发 送 频 率 为 fo 二 10 二 1.023MHz， 
即 码 间距 约 1ps, 等 效 于 300m; L2 频段 (120X 二 1223.6MHz) 为 军用 ,波长 1 二 24. 42cm, 采 
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用 P/Y 码 ,P(Precise) 码 重复 周期 为 266. 4 天 ,频率 为 10.23MHz, 即 码 间距 为 0. lws, 等 效 于 
30m; Y 码 是 在 P 码 的 基础 上 形成 的 ,保密 性 能 更 佳 。 


图 18.7 GPS 地 面 站 系统 示意 


导航 电文 包括 卫星 星 历 、 工 作 状 况 、 时 钟 修正 、 电 离 层 时 延 修正 、 大 气 折射 修正 等 信息 ， 
以 50b/s 速率 调制 在 载 频 上 发 射 , 采 用 不 归 零 制 (NRZ) 二 进 制 编码 ,可 从 卫星 信号 中 解 调 出 
来 。 如 图 18. 8 所 示 ,导航 电文 每 个 帧 中 包含 5 个 子 帧 ,每 个 子 帧 长 6s。 前 3 帧 各 10 个 字 ， 
每 30s 重复 一 次 ,每 小 时 更 新 一 次 ; 后 两 帧 共 15 000b ,各 包含 25 页 。 导 航 电 文中 的 内 容 主 
要 有 遥测 码 ,转换 码 ,第 1、2、3 数据 块 5 部 分 ,其 中 最 重要 的 是 星 历数 据 。 

在 一 个 二 维 平面 中 ,利用 已 知 3 点 的 坐标 和 距离 ( 即 半径 ), 可 唯一 确定 一 个 点 的 位 置 ， 
这 就 是 三 角 定位 的 基本 方法 。 如 图 18. 9 所 示 , 设 3 个 点 坐标 分 别 为 (zi, yi1)、(zxz，, yz)、 
(zs133), 到 待 测 点 (x,y) 的 距离 分 别 为 ro、rs, 则 解 以 下 方程 组 即 可 : 

ri (zi—7z) (yO—y), i=1,2,3 


一 个 帧 | 子 帧 1 | 子 帧 2 | 子 帧 3 | 子 帧 4 | 子 帆 5 | 
| 
1 | 
区 6 cd 
一 个 子 帧 | 字 !| 字 ? | 宇 3 | 字 4| 字 5 | 字 6 [ 字 7[ 字 8 可 加 


la 一 一 一 入 入 二 和 = 
-= 30b,0.02s/b 


图 18.8 GPS 导航 电文 帧 结构 图 18.9 三 角 定位 原理 


可 根据 三 角 定 位 的 原理 ,利用 基站 实现 移动 站 点 的 定位 ,距离 r; 可 通过 无 线 信号 衰减 
率 或 时 钟 同步 方式 测算 。 
若 为 三 维 空间 ,如 图 18. 10 所 示 ,同样 可 根据 已 知 3 点 的 坐标 (xi,y; ,zi) 和 距离 x; ,唯一 
确定 (x,y,z) 点 的 位 置 。 解 以 下 三 元 方程 组 即 可 。 
ri (z= 2 Tt =y tm —2 ys B= 23 
卫星 定位 即 利用 该 3 点 定位 的 原理 ,依据 是 卫星 所 在 的 空间 位 置 (经 度 .纬度 .高度 ) 坐 
标 和 信号 传输 时 延 计算 出 的 距离 (信号 传输 速度 按 光 速 c 计 )。 
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然而 ,由 于 各 个 卫星 和 地 面 接收 终端 的 时 钟 不 可 能 
绝对 相同 (同步 ) ,必然 存在 误差 ,如 果 不 加 考虑 ,计算 结 
果 的 位 置 偏离 可 能 非常 大 ,而 且 不 可 预测 。 因 此 ,需要 第 
四 颗 卫星 的 数据 ,共同 计算 加 入 时 钟 偏差 因素 的 准确 
位 置 。 

卫星 的 星 历数 据 ,包括 空间 位 置 和 时 钟 偏差 (clock 
bias) 均 由 地 面 控制 站 统一 注入 ,并 通过 导航 电文 发 送 给 
接收 终端 。 如 图 18. 11 所 示 , 设 星 历数 据 表示 的 (经 度 、 图 18.10 三 点 空间 定位 法 原理 
纬度 、 高 度 ) 空 间 位 置 分 别 为 (zi,yi,z;) ,时 钟 偏差 ( 钟 差 ) 分 别 为 As 。 


(X22,22) 


(3y3,23) 
(xisp121) 


= 


了 
(x22,22) 
b 
pe 
gi Cas23) 
/ 
EE 
GovzD De 
Oe / i 
和 a 
Dp 
Pg C4 (X44s24) 
/ 一 
人 2 | 
A 下 
全 
局 六 2 
(xyz) 
0 车 


图 18.11 GPS 定位 原理 


么 , 当 导 航 电 文 由 卫星 同时 发 出 ,发 出 时 卫星 时 钟 分 别 为 占 , 则 精确 (标准 ?时 钟 应 为 
4 十 As 。 电 文 到 达 接 收 终端 时 , 设 终端 时 钟 为 ,终端 的 钟 差 未 知 , 为 A,, 则 精确 时 钟 为 + 十 
A,。 根 据 电 文 传输 时 间 和 3 点 定位 原理 ,可 计算 卫星 与 接收 终端 之 间 的 距离 Di, 列 方程 式 
如 下 。 


， i 二 1,2,3,4 


D;=c((tt+A)— (t+As)) 一 cG 一 右 ) 十 c(A 一 As) 
必 (B=z 二 (WC— 二 (eC—2) 

解 方程 组 即 可 得 (z,y'z) 和 A,。 也 可 采用 另 一 种 方法 ,根据 发 送 电文 时 的 卫星 时 钟 和 
电文 到 达 时 间 计 算 距 离 di ,因为 并 非 两 者 的 真实 距离 ,所 以 称 为 伪 距 (psudo-range,PR) , 即 
上 式 中 的 c(t 一 ti) 部 分 ,从 而 方程 式 改写 为 

d; Cm — ww — yt —e) 二 CA 一 向) f= 12354 

虽然 GPS 卫星 均 采用 高 精度 原子 钟 ,但 与 标准 时 间 的 偏差 和 漂移 仍 有 0. 1 一 lms 之 
多 ,由 此 引起 的 等 效 误差 将 达到 30 一 300km, 可 谓 失 之 毫 厘 , 差 之 千里 。 明 显 可 见 ,方程 式 
中 任何 一 项 的 误差 都 将 直接 影响 到 最 终 的 定位 准确 性 ,包括 星 历数 据 本 身 的 误差 .大 气 层 
(电离 层 、 对 流 层 ) 对 信号 传输 造成 的 影响 (折射 ,多 路 径 效 应 等 )。 另 外 ,由 于 卫星 在 太空 高 
速 运动 的 特性 ,相对 论 效应 也 会 产生 一 定 的 影响 。 

美国 军 方 为 了 限制 非特 许 用 户 利用 GPS 进行 高 精度 定位 ,采用 一 种 特殊 的 故意 降低 系 
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统 精度 的 方法 , 称 为 SA 政策 ,包括 降低 广播 星 历 精度 的 8。 技术 和 在 卫星 基本 频率 上 附加 一 
随机 抖动 的 8 技术 。 实 施 SA 政策 后 ,SA 误差 成 为 影响 GPS 定位 误差 的 最 主要 因素 。 虽 
然 美国 在 2000 年 5 月 1 日 取消 了 SA, 但 必要 时 ,可 以 恢复 或 采用 类 似 的 干扰 技术 。 

采用 差分 GPS(DGPS) 可 进一步 提高 定位 精度 。 根 据 差 分 GPS 基准 站 发 送 的 信息 方 
式 可 分 为 3 类 : 位 置 差分 、 伪 距 差分 和 相位 差分 。 这 3 类 方式 的 工作 原理 是 相同 的 ,都 是 由 
基准 站 发 送 修正 值 , 由 终端 接收 并 对 其 测量 结果 进行 修正 ,以 获得 精确 的 定位 结果 ; 不 同 的 
是 ,发 送 修正 值 的 具体 内 容 不 一 样 ,其 差分 定位 精度 也 不 同 。 

2. 北斗 系统 

2000 年 10 月 31 日 12 月 21 日 ,2003 年 5 月 25 日 ,北斗 一 号 01.02 星 和 备用 卫星 在 西 
昌 卫 星 发 射 中 心 发 射 升 空 ,标志 着 我 国 成 功 建立 了 自主 的 北斗 导航 试验 卫星 系统 。 北 斗 系 
统 的 指挥 机 和 终端 之 间 可 以 通过 卫星 进行 双向 交流 ,成 为 一 大 技术 特色 。 

北斗 卫星 导航 定位 系统 是 中 国 自 行 研 制 开 发 的 区 域 性 有 源 三 维 卫星 定位 与 通信 系统 
(CCNSS) ,由 两 颗 北 斗 一 号 地 球 静 止 轨道 工作 卫星 和 一 颗 备 用 卫星 组 成 ,由 地 面 控制 中 心 进 
行 控制 ,是 覆盖 中 国 本 土 的 区 域 导航 系 统 , 范 围 为 东经 70 一 140 ,北纬 5 一 55 ,在 地 球 赤 道 
平面 上 的 二 颗 地 球 同步 卫星 的 赤道 角 距 约 60"。 北 斗 系统 定位 精度 约 几 十 米 , 授 时 精度 约 
100ns, 略 低 于 GPS 系统 的 6 一 12m 和 20ns。 

北斗 卫星 导航 定位 系统 的 基本 工作 原理 是 双星 定位 : 以 两 颗 在 轨 卫 星 的 已 知 坐 标 为 圆 
心 , 各 以 测定 的 卫星 至 用 户 终端 的 距离 为 半径 ,形成 两 个 球面 ,用 户 终端 将 位 于 这 两 个 球面 
交 线 的 圆 弧 上 。 地 面 中 心 站 配 有 电子 高 程 (高 度 ) 地 图 ,提供 一 个 以 地 心 为 球 心 ,以 球 心 至 地 
球 表面 高 度 为 半径 的 非 均 匀 球 面 。 用 数学 方法 求解 圆 弧 与 地 球 表面 的 交点 即 可 获得 用 户 的 
位 置 。 

由 于 北斗 在 定位 时 需要 用 户 终端 向 定位 卫星 发 送 定位 信号 ,由 信号 到 达 定 位 卫星 时 间 
的 差 值 计算 用 户 位 置 ,所 以 被 称 为 有 源 定位 。 但 是 ,用 户 终端 发 送信 息 可 能 暴露 其 位 置 ,在 
军事 上 处 于 不 利 局 面 。 

未 来 的 第 二 代 北 斗 卫星 导航 系统 将 由 5 颗 静 止 地 球 轨道 (GEO) 卫 星 和 30 颗 非 静止 轨 
道 卫 星 组 成 ,提供 两 种 服务 方式 : 开放 服务 和 授权 服务 。 开 放 服 务 是 在 服务 区 免费 提供 定 
位 、 测 速 和 授时 服务 ,定位 精度 为 10m, 授 时 精度 为 50ns, 测 速 精度 达到 0. 2m/s。 授 权 服 务 
是 向 授权 用 户 提 供 更 安全 的 定位 \ 测 速 、 授 时 和 通信 服务 以 及 系统 信息 。 

第 二 代 北 斗 卫星 导航 系统 的 基本 工作 原理 与 GPS 类似。 为 了 保持 地 面 控 制 系统 各 站 
之 间 , 以 及 地 面 站 与 卫星 之 间 的 时 间 同 步 , 通 过 站 间 和 星 地 时 间 比 对 观测 与 处 理 , 使 时 间 同 
步 精度 更 高 。 
18.1.4 泛 在 计算 

泛 在 计算 (Ubiquitous Computing) 或 称 普 适 计算 是 关于 计算 机 和 网 络 应 用 向 深度 、 广 
度 延 伸 的 思想 。 普 及 计算 基于 计算 机 的 智能 ,互联 网 的 联通 两 方面 的 能 力 ,使 信息 化 、 智 能 
化 到 达 生 活 的 各 个 层面 .各 个 角落 。 

在 泛 在 计算 环境 中 ,各 种 具有 计算 和 联网 功能 的 设备 随处 可 见 , 从 而 使 计算 能 力 像 水 和 
电 一 样 ,随处 可 用 、 按 需 索 取 。 如 图 18. 12 所 示 , 人 类 活动 所 需要 的 计算 能 力 的 满足 ,从 安装 
在 专用 机 房 的 大 型 机 ,延伸 到 人 们 伸手 可 及 的 地 方 。 或 许 20 年 前 人 们 还 难以 想象 昂贵 的 、 
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神奇 的 、 高 科技 的 CPU 会 装 到 一 个 廉价 的 电子 产品 中 ,而 如 今 已 经 变 成 现实 。 


1) 
大 型 机 桌面 计算 机 普及 计算 


Ps 
0 


(One computer for many people) (One computer for each person) (Many computers for each person) 


图 18.12 泛 在 计算 发 展 历程 示意 


物 联网 技术 的 运用 推进 了 泛 在 计算 的 发 展 。 物 联网 使 非 智 能 物体 智能 化 ,智能 体 尺寸 变 
小 数量 增 大 ,无 处 不 在 ,成 为 智能 灰尘 (intelligent dust; smart dust) ,达到 人 与 机 器 物品 \ 环 境 
的 协调 ,在 满足 人 类 各 种 需求 的 目标 下 ,实现 自然 的 .优雅 的 计算 (invisible computing) 。 


18.2 去 计算 


18.2.1 网 格 计算 


网 格 (grid) 技 术 提 出 于 20 世纪 90 年 代 , 全称 为 全 球 网 格 (Great Global Grid,GGG ) 。 
grid 在 英语 中 的 本 意 就 是 一 种 网 络 , 如 电网 .自来水 管 网 ,燃气 输送 网 .蒸汽 供 热 网 等 。 之 所 
以 提出 网 格 的 概念 ,归根 结 底 是 对 Internet 网 络 服务 现状 的 不 满 。 

Internet 资源 (resources) 可 以 用 CFS 来 概括 : 新 闻 .评论 游记、 小 说 .论文 等 构成 内 容 
(Content); 电子 邮件 、 网 络 论坛 .即时 通信 、 电 子 支付 .网 上 交易 、 视 频 点 播 等 称 为 功能 
(Functions); 主机 系统 .数据 存储 、 在 线 软件 等 属于 服务 (Services)。 这 些 资源 实际 上 分 散 
在 各 个 国家 和 地 区 的 各 种 网 站 及 其 不 同 的 计算 机 上 ,要 获取 这 些 资源 首先 要 了 解 资源 所 在 
的 位 置 CURL) ,其 次 要 知道 资源 的 类 型 以 便 确 定 相对 应 的 工具 (协议 ), 然 后 要 适应 各 不 相 
同 的 访问 方式 (注册 ,登录 .访问 流程 等 ) ,最 后 才能 谈 得 上 享用 资源 。 有 些 需求 还 要 组 合 各 
种 资源 才能 满足 ,非常 辛苦 。 

通过 搜索 引擎 (search engine) 检 索 信 息 是 了 解 Internet 资源 分 布 的 有 效 方法 。 但 传统 
的 搜索 引擎 技术 存在 较 大 不 足 , 以 至 于 信息 越 多 ,找到 所 需 信息 的 难度 就 越 高 ,与 “内 容 体现 
价值 "的 常理 完全 背道而驰 。 此 外 ,基于 关键 字 (keyword) 的 搜索 技术 设 定 了 较 高 的 技术 门 
槛 ,使 搜索 结果 取决 于 使 用 者 的 “语文 水 平 ?的 高 低 , 不 符合 技术 公平 服务 的 初衷 。 此 外 , 搜 
索 一 般 仅 限于 字 和 词 的 匹配 ,与 语义 . 语 境 无 关 , 使 得 搜索 引擎 更 像 是 一 把 埠 弹 枪 ,而 非 精确 
击 中 目标 的 狙击 枪 。 例 如 搜索 "长 城 ”, 结 果 包 含 了 万 里 长 城 .和 葡萄酒. 汽车. 电脑. 证券、 基 
金 . 公 司 、 宽 带 接 入 、 润 滑 油 、 歌 曲 、 书 籍 、 图 片 …… 要 从 包罗 万 象 的 5000 多 万 条 信息 中 获取 
真正 想 要 的 东西 ,无 异 于 大 海 捞 针 。 

网 格 是 借鉴 电力 网 的 服务 模式 提出 的 ,网 格 的 最 终 目的 是 希望 用 户 在 使 用 Internet 解 
决 问题 时 像 使 用 电力 一 样 方便 ,用 户 不 用 去 考虑 得 到 的 服务 来 自 哪个 地 理 位置 ( 发 电站 ) ,由 
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什么 样 的 计算 设施 提供 (输电 网 ), 采 用 何 种 技术 ( 变 电 所 ), 只 需 通 过 简单 操作 即 可 达到 目的 
(打开 电灯 开关 ) 。 这 样 的 例子 还 有 很 多 ,例如 , 拧 开 水 龙头 喝 水 ,点 燃 液化 气 灶 烧 饭 , 开 启 暧 
气 片 取暖 , 接 上 电话 机 打 电 话 等 。 也 就 是 说 ,网 格 给 最 终 的 使 用 者 提供 的 是 一 种 通用 的 计算 
能 力 。 

所 以 ,网 格 试图 利用 Internet 把 分 布 于 不 同 地 域 的 计算 机 、 数 据 库 .存储 器 、 软 件 、 文 件 
等 资源 连 成 整体 ,就 像 一 台 超级 计算 机 一 样 为 用 户 提供 一 体 化 信息 服务 ,其 核心 思想 可 以 简 
单 表 述 为 "Internet 就 是 一 台 计算 机 ”。 网 格 技术 充分 实现 资源 共享 ,具有 低 成 本 高 效率 、 
易 使 用 等 优点 。 

网 格 技术 最 著名 的 经 典 案例 莫 过 于 寻找 外 星人 的 SETI@home 计划 了 ,最 能 够 体现 网 
格 的 思想 和 作用 。 在 茫茫 宇宙 中 寻找 可 能 的 同类 一 直 是 人 类 无 法 泥 灭 的 梦想 ,方法 是 用 分 
布 在 世界 各 地 的 射电 望远镜 采集 电磁 波 信号 ,经 过 分 析 搜 寻 外 星人 智能 化 活动 的 蛛丝马迹 
(如 包含 信息 的 无 线 电波 )。 但 海量 数据 的 分 析 工 作 量 十 分 巨大 ,况且 对 分 析 的 结果 无 法 预 
计 , 成 功 的 希望 也 非常 渺茫 ,用 昂贵 的 大 型 计算 机 来 做 无 休止 的 处 理 显然 不 是 理智 的 做 法 。 
可 行 的 方法 是 运用 网 格 计算 ,在 Internet 上 招募 志愿 者 计算 机 ,联网 的 计算 机 事先 下 载 安装 
一 个 分 析 软 件 ,类似 屏幕 保护 程序 , 当 计算 机 空闲 时 ,程序 激活 开始 工作 ,自动 从 数据 中 心 下 
载 数据 并 进行 分 析 ,然后 将 结果 报告 给 数据 中 心 。 数 百 万 台 个 人 计算 机 提供 的 计算 能 力 是 
惊人 的 , 却 几乎 是 零 成 本 的 。 

与 WWW 类 似 ,GGG 同样 体现 的 是 瘦 客 户 机 的 思想 ,只 是 更 进一步 ,网 格 将 更 多 的 技 
术 细 节 隐 藏 起 来 ,而 使 用 户 操作 更 加 便捷 。 

由 于 网 格 需要 良好 的 管理 来 维护 正常 的 运行 ,其 组 成 结构 及 资源 调控 必然 相当 复杂 , 需 
要 解决 的 问题 也 很 多 。 因 为 网 格 所 关心 的 问题 不 再 是 文件 交换 ,而 是 如 何 直接 访问 计算 机 、 
软件 ,数据 和 其 他 资源 , 且 资 源 是 动态 变化 的 ,这 就 要 求 网 格 具备 解决 资源 与 任务 的 分 配 和 
调度 .安全 传输 与 通信 实时 性 保障 .人 与 系统 以 及 人 与 人 之 间 的 交互 等 能 力 。 因 此 ,建立 网 
格 技术 统一 的 国际 标准 显得 十 分 必要 和 关键 。 

网 格 研究 最 初 的 目标 是 希望 能 够 将 超级 计算 机 连接 成 为 一 个 可 远程 控制 的 元 计算 机 系 
统 (meta computers) ,如 今 这 一 目标 已 经 深化 为 建立 大 规模 计算 和 数据 处 理 的 通用 基础 支 
撑 结 构 。 开 放 网 格 服务 结构 (Openning Grid Service Architecture, OGSA) 是 Global Grid 
Forum4 的 重要 标准 建议 ,是 一 种 最 有 影响 力 的 网 格 体系 结构 ,被 称 为 下 一 代 的 网 格 结构 。 
Globus 和 Web Service 是 OGSA 的 两 大 支撑 技术 。OGSA 的 目的 就 是 要 将 Grid 的 一 些 功 
能 融合 到 Web Service 这 个 框架 中 。OGSA 是 面向 服务 的 结构 ,将 所 有 事务 都 表示 成 一 个 
Grid 服务 ,计算 资源 .存储 资源 .网 络 资源 .软件 资源 .数据 资源 等 都 是 服务 ,所 有 的 服务 都 
联系 对 应 的 接口 ,所 以 ,OGSA 被 称 为 以 服务 为 中 心 的 “服务 结构 ”, 通 过 标准 的 接口 和 协议 
支持 创建 终止 .管理 和 开发 透明 的 服务 。 

Globus 采用 了 以 下 协议 。 

(1) 基于 LDAP 的 网 格 资源 信息 协议 (Grid Resource Information Protocol,GRIP) ,用 
于 定义 一 个 标准 的 资源 信息 协议 和 相关 的 信息 模型 。 相 关 的 软件 级 的 网 格 资源 注册 协议 
(Grid Resource Registration Protocol,GRRP) 和 网 格 索 引信 息 服务 器 用 于 注册 资源 。 

(2) 基于 HTTP 的 网 格 资源 访问 与 管理 协议 (Grid Resource Access and Management， 
GRAM) 用 于 分 配 计算 资源 和 监控 这 些 资源 上 进行 的 操作 。 
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(3) 网 格 文件 传输 协议 (Grid FTP) 是 FTP 的 扩展 版 本 。 扩 展 部 分 包括 运输 层 安 全 协 
议 的 使 用 ,部 分 文件 传输 ,高 速 传输 中 的 并 行 机 制 管理 。 

Globus 为 每 个 协议 定义 了 客户 端 ,Java API 及 SDK, 同 时 也 为 每 个 协议 提供 服务 器 端 
的 SDK, 以 便 使 不 同 资源 可 以 集成 到 网 格 中 。 如 网 格 资源 信息 服务 (Grid Resource 
Information Service,GRIS) 实 现 服务 器 端 LDAP 功能 ; 通用 安全 服务 (Generic Security 
Services,GSS) API 用 于 获取 转发 和 校 验 证 书 。 

Web Service 是 一 种 标准 化 的 访问 网 络 应 用 的 技术 框架 ,XML 标准 相关 工作 是 Web 
Service 的 基础 。 

Web Service 包括 几 个 比较 重要 的 协议 : 简单 对 象 访问 协议 (Simple Object Access 
Protocol,SOAP), Web 服务 描述 语言 (Web Service Description Language,WSDL) ,统一 描 
述 , 发 现 与 集成 (Universal Description ,Discovery & Integration, UDDI) 和 WS-Inspection。 

网 格 是 建立 在 Internet 和 Web 基础 上 的 ,并非 替 代 关 系 。Internet 实现 了 信息 共享 ,但 
离 应 用 层面 上 的 互 连 互通 还 有 很 大 距离 ,联网 计算 机 的 使 用 也 远 不 如 电话 那么 方便 ,而 网 格 
技术 将 可 能 使 之 成 为 现实 。 

有 观点 认为 ,网 格 是 在 非 集中 控制 的 环境 中 协同 使 用 资源 ,使 用 标准 的 、 开 放 的 和 通用 
的 协议 和 接口 ,提供 非 平凡 的 服务 。 

也 有 观点 认为 ,网 格 是 一 种 框架 ,把 计算 机 软 硬 件 等 资源 放 在 这 个 框架 中 ,能 够 产生 群 
体 效 应 ,能 够 完成 所 有 的 个 体 以 及 个 体 的 集合 不 能 完成 的 工作 。 

还 有 观点 认为 ,应 该 把 网 格 和 网 格 技术 分 开 来 看 待 。 网 格 技术 是 一 种 概念 和 思想 ,其 本 
质 是 资源 共享 及 协同 工作 ,一 切 符合 这 个 思想 、 能 够 完成 传统 技术 不 能 完成 的 工作 的 技术 都 
可 以 称 为 网 格 技术 ; 网 格 则 是 一 种 基础 设施 ,因为 要 建立 在 资源 充分 共享 的 基础 上 ,所 以 网 
格 要 整合 很 多 异 构 的 资源 和 不 同 的 信息 系统 ,就 需要 依赖 公共 标准 。 网 格 标准 应 当 是 开放 
的 ,网 格 接口 尽量 简单 ,便于 应 用 开发 ,而 用 户 不 必 关 心 网 格 内 部 和 底层 实现 的 复杂 性 ,所 看 
到 的 网 格 是 一 个 整体 ,完成 一 致 的 功能 。 

之 所 以 存在 不 同 的 观点 ,一 方面 说 明 网 格 技术 仍然 需要 一 个 不 断 完善 和 稳固 的 过 程 , 另 
一 方面 说 明了 网 格 技术 的 适用 面 十 分 广阔 ,灵活 性 强 , 可 以 开拓 不 同 的 网 格 应 用 。 但 不 管 如 
何 定义 网 格 概念 ,有 两 个 方面 已 经 成 为 共识 : 网 格 是 对 Internet 上 各 种 资源 的 汇聚 ,以 发 挥 
巨大 的 累加 效应 ; 网 格 技术 需要 建立 开放 而 统一 的 标准 ,便于 更 多 有 效 资源 加 入 进来 。 

根据 网 格 技术 和 应 用 目标 ,可 分 为 两 种 主要 类 型 : 专业 网 格 和 通用 网 格 。 

如 图 18. 13 所 示 为 专业 网 格 的 工作 原理 。 较 有 代表 性 的 专业 网 格 有 计算 网 格 .数据 网 
格 .存储 网 格 ,面向 高 能 物理 .生物 、 化 学 .天 文 .气象 等 领域 。 

如 图 18. 14 所 示 为 通用 网 格 的 体系 结构 ,设备 之 间 可 透 过 标准 化 的 服务 定义 发 现 和 使 
用 各 种 服务 。 

可 以 看 出 通用 网 格 与 专业 网 格 仅 有 很 微妙 的 差别 ,事实 上 ,在 许多 情况 下 ,两 者 之 间 并 
没有 严格 的 界限 ,是 可 以 相互 渗透 .相互 结合 的 。 如 果 能 够 达到 相互 的 完全 融合 ,对 于 网 格 
的 发 展 无 疑 十 分 有 益 。 

通用 网 格 不 但 可 以 应 用 于 Internet 大 环境 中 ,而 且 可 在 很 多 局 部 的 应 用 环境 中 发 挥 作 
用 。 例如: 

(1) 召开 一 次 会 议 ,与 会 者 是 作为 个 体 临时 加 入 会 议 这 个 小 环境 ,各 个 计算 机 设备 具有 
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不 同 的 结构 、 配 置 .性 能 和 功能 ,利用 网 格 服务 发 现 技术 可 以 将 这 些 资源 汇聚 起 来 ,演讲 者 可 
以 直接 将 PPT 输出 给 投影 机 ,会 议 资料 可 以 同步 给 所 有 人 或 从 共享 的 打印 机 中 打印 出 来 ， 
与 会 者 可 以 擦 写 同 一 块 白板 ,合作 修改 一 个 文档 或 设计 稿 ,甚至 随时 引用 其 他 人 的 某 一 段 统 
计数 据 。 

(2) 救灾 系统 也 可 成 为 网 格 技术 的 用 武之 地 。 来 自 各 地 、 各 行业 的 专业 或 业余 救灾 队 
伍 必须 协调 工作 ,所 有 资源 应 当 物 尽 其 用 ,及 时 出 现在 最 能 发 挥 作用 的 地 方 。 运 输 车 辆 、 医 
疗 人 员 、 后 勤 物资 .生命 探测 仪 ,挖掘 机 、 抢 险 人 员 等 ,采用 网 格 技术 可 定义 每 个 团队 或 个 体 
的 能 力 、 数 量 、 位 置 持续 工作 时 间 等 关键 属性 ,并 根据 需求 匹配 最 佳 资源 ,进行 合理 调度 。 


图 18.13 专业 网 格 工作 原理 
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图 18.14 通用 网 格 工作 原理 


18.2.2 云 计 算 原 理 


云 计 算 (Cloud Computing) 概 念 的 提出 体现 了 人 们 对 于 Internet 理想 服务 方式 的 追求 。 
回顾 计算 机 和 网 络 的 发 展 历程 (如 图 18. 15 所 示 ) ,可 以 发 现 一 条 计算 模式 改进 的 轨迹 : 从 
离线 到 联网 ,从 孤立 到 合作 ,从 独占 到 共享 ,从 简单 到 复杂 ,从 集中 到 分 布 ,计算 能 力 不 断 提 
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高 。 在 一 次 次 的 进步 中 ,从 最 初 的 瘦 客 户 机 (简单 终端 ) 到 瘦 服 务 器 (C/S), 再 到 瘦 客 户 机 
(B/S) ,最 终 似 乎 又 回 到 简单 终端 上 ,可见 经 历 了 螺旋 式 上 升 的 发 展 曲线 。 


集中 式 计算 
多 用 户 系统 


图 18.15 云 计算 技术 发 展 轨迹 示意 


从 中 可 以 体会 到 云 计算 的 含义 : 用 户 使 用 各 种 简单 的 终端 ,就 可 随时 随地 获取 所 需 的 
服务 ,而 不 用 关心 网 络 的 具体 结构 和 技术 ,就 像 面 对 一 朱 看 不 到 内 部 的 云 ,这 朱云 就 是 一 台 
无 所 不 能 的 超级 计算 机 。 

在 云 计算 之 前 , 当 Web 服务 逐步 成 为 主流 的 信息 访问 方式 后 ,应 用 软件 服务 (Application 
Service Provider, ASP) 的 模式 就 已 经 出 现 ,个 人 和 企业 使 用 商用 软件 有 了 第 二 种 选择 : 即 租 
即 用 ,而 不 是 一 次 性 购买 使 用 权 , 但 ASP 只 局 限于 极 少数 专业 软件 服务 ,不 同 于 云 计算 的 普 
遍 服 务 。 互 联网 数据 中 心 (Internet Data Centre,IDC) 则 主要 提供 网 站 主机 托管 业务 ,包括 
带宽 租用 (物理 托管 ) 和 虚拟 主机 等 服务 ,可 与 域名 服务 .软件 开发 等 打包 ,这 与 云 计算 面向 
个 人 用 户 的 目标 完全 不 同 ,但 性 能 优异 、 管 理 完善 的 IDC 可 以 成 为 云 计 算 的 重要 物理 基础 
设施 。 对 等 网 络 (Peer-to-Peer,P2P) 实 现 了 去 中 心 化 思想 ,让 用 户 既是 服务 的 需求 者 ,也 是 
服务 的 提供 者 ,充分 发 掘 和 调动 了 分 布 在 用 户 端 的 存储 资源 、 带 宽 资源 和 计算 资源 ,所 以 
P2P 技术 也 是 云 计 算 可 以 有 效 运 用 的 手段 之 一 。 

云 计 算 的 理念 在 网 格 技术 中 已 经 被 提出 过 ,所 以 可 以 被 视 为 网 格 的 进一步 发 展 ( 也 有 观 
点 否认 这 一 点 )。 网 格 计算 比较 强调 体系 结构 的 建立 ,研究 服务 的 定义 、 服 务 的 发 现 和 服务 
的 调用 ,而 云 计 算 则 注重 最 终 的 表现 ,更 多 以 用 户 的 立场 来 看 待 问题 。 另 一 个 差别 在 于 网 格 
计算 提供 的 服务 一 般 较 为 单一 ,例如 完成 一 种 并 行 计算 任务 、 打 印 一 个 文档 等 ,而 云 计算 的 
服务 综合 性 较 强 ,为 满足 某 个 需求 ,通过 结合 一 系列 的 网 络 服务 来 完成 .例如 从 制定 旅行 计 
划 , 到 购买 机 票 .预订 宾馆 等 ,然后 一 揽 子 交付 给 用 户 。 

理解 云 计算 ,可 以 从 以 下 基本 特征 人手 。 

(1) 采用 简单 的 网 络 终端 ,只 需要 一 个 标准 浏览 器 或 简单 的 客户 端 软件 ,甚至 不 需要 复 
杂 的 操作 系统 (只 需 精 简 的 租 入 式 操作 系统 ) ,几乎 不 需要 安装 各 种 应 用 软件 ( 即 所谓 no 
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software) ,包括 文档 编辑 、 图 像 处 理 、 文 件 压 缩 等 均 由 网 络 服务 提供 ,用 户 只 需 点 击 一 项 操 
作 , 云 计算 就 会 调用 相应 的 程序 来 完成 。 文 件 系统 应 有 的 各 项 功能 也 由 云 计算 提供 ,文件 被 
保存 在 云 存 储 中 ,用 户 通过 一 条 虚拟 的 文件 目录 路 径 来 访问 虚拟 的 存储 空间 。 

(2) 以 用 户 为 中 心 是 云 计 算 的 指导 思想 。 一 旦 一 名 用 户 接 人 云 中 ,整个 互联 网 就 会 围 
绕 其 需求 展开 ,调动 所 有 相关 的 设备 .数据 ,应 用 程序 .服务 等 ,这 些 资源 可 以 来 自 专业 服务 
器 ,也 可 以 来 自 其 他 用 户 的 计算 机 。 

(3) 任务 驱动 意味 着 软件 工具 是 什么 不 再 显得 重要 ,焦点 在 于 能 够 完成 任务 以 及 是 否 
高 效率 、 低 成 本 。 

(4) 易于 访问 是 云 计算 追求 的 目标 之 一 ,使 用 户 不 再 受到 终端 软 硬 件 .数据 来 源 以 及 网 
络 操作 能 力 等 制约 ,而 且 支持 强大 的 移动 性 ,在 任何 时 候 , 任 何 地 点 ,用 任何 网 络 终端 都 可 以 
获得 同样 的 服务 效果 。 

(5) 由 于 服务 资源 具有 动态 变化 的 特性 ,例如 一 台 提供 服务 的 计算 机 突然 离线 、 一 个 应 
用 程序 站 点 临时 失效 ,为 了 保证 服务 质量 的 始终 如 一 和 数据 的 安全 可 靠 , 云 计算 应 具备 智能 
化 的 资源 管理 和 协调 能 力 。 

云 计 算 技 术 包 括 云 架构 ` 云 调度 ` 云 管理 . 云 存 储 等 方面 ,构成 各 种 公共 云 或 私有 云 服务 
提供 给 Internet 用 户 。 云 服务 的 实现 有 以 下 3 种 主要 方式 。 

(1) 软件 即 服 务 (Software as a Service, SaaS)。SaaS 是 一 种 基本 的 云 服务 ,模式 与 
ASP 类 似 , 但 架构 更 开放 ,服务 普及 性 更 强 。 一 个 SaaS 云 服务 提供 商 的 背后 是 各 种 云 服 务 
应 用 软件 的 开发 商 , 是 对 传统 的 开发 者 卖 软 件 商业 模式 的 颠覆 。 

(2) 平台 即 服务 (Platform as a Service,PaaS)。PaaS 是 SaaS 的 一 种 变化 ,提供 的 云 服 
务 是 开发 环境 。 开 发 者 利用 PaaS 云 服 务 平台 上 的 软件 结构 单元 来 创建 自己 的 应 用 ,并 可 
进一步 把 创建 好 的 应 用 以 云 服务 的 方式 提供 给 用 户 。PaaS 可 有 效 降低 开发 难度 和 成 本 , 缩 
短 开发 周期 ,开发 应 用 的 过 程 就 是 构造 云 服务 的 过 程 ,技术 设计 和 商业 计划 有 机 结合 在 一 
起 ,而 开发 的 成 果 反 过 来 丰富 了 云 服务 。 

(3) 设施 即 服务 (Intrastructure as a Service,IaaS) 。IaaS 是 以 服务 的 形式 ,向 用 户 提 供 
服务 器 、 存 储 、 安 全 防范 、 数 据 库 和 其 他 网 络 基 础 设施 。 用 户 不 必 为 了 建立 信息 系统 而 添置 
大 量 的 硬件 和 系统 软件 ,只 需 租 用 虚拟 化 的 环境 ,例如 云 存 储 、 云 安全 ,就 可 以 快速 建立 自己 
的 网 络 体 系 。 

云 计 算 尚 存在 许多 问题 亟待 解决 ,首当其冲 是 技术 规范 的 标准 化 。 各 自 为 政 的 局 面 只 
会 导致 用 户 无 所 适 从 。 此 外 ,数据 安全 、 隐 私 保护 .联网 依赖 .带宽 限制 等 都 是 制约 云 计 算 发 
展 的 不 利 因素 。 


18.3 移动 计算 


18.3.1 移动 计算 原理 


移动 计算 (Mobile Computing) 泛 指使 用 移动 终端 进行 网 络 应 用 的 活动 。 
移动 计算 是 相对 于 固定 位 置 的 信息 化 应 用 ,例如 桌面 计算 机 ,或 受到 网 络 线 、. 电 源 线 牵 
制 而 动弹 不 得 的 便携 计算 机 而 言 的 。 所 以 ,用 于 移动 计算 的 终端 的 特点 一 定 是 要 能 够 自由 
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移动 。 根 据 这 一 原则 ,移动 计算 终端 必须 采用 无 线 通 信 技 术 、 轻 便 而 续航 能 力 强 。 对 移动 计 
算 终 端的 其 他 要 求 可 能 包括 性 能 优良 、 安 全 可 靠 、. 操 作 便 捷 、 运 行 流畅 .系统 开放 、 设 计 美 观 。 

适用 于 移动 计算 的 无 线 通信 技术 有 无 线 以 太 网 WLAN、2G/3G/4G 移动 通信 系统 、 蓝 
牙 (BT) 或 近 场 通信 (NFC) 等 。GPS 和 RFID 虽然 也 采用 无 线 通信 技术 ,可 是 并 不 能 用 来 上 
网 。 从 无 线 通信 支撑 移动 计算 的 不 同 应 用 类 型 的 角度 看 ,有 两 种 不 同 的 技术 构造 方式 。 

(1) 准 移动 方式 。 移 动 计算 终端 可 以 在 一 定 范围 内 移动 ,但 不 能 离开 当前 无 线 通 信 基 
站 的 信号 覆盖 范围 ,一 旦 超过 信号 区 域 边 界 ,连接 就 会 中 断 。 例 如 采用 WLAN 联网 情况 
下 ,即使 从 正在 连接 的 AP 移动 到 另 一 个 AP 的 范围 ,如 果 不 采用 Mobile IP 等 无 颖 切换 技 
术 ,应 用 也 会 因此 终止 ,需要 重新 开始 。 相 对 而 言 , 基 于 TCP 的 应 用 实现 无 缝 切换 更 为 困 
难 ,而 只 要 保持 IP 地 址 的 连续 性 ,基于 UDP 的 应 用 容易 实现 接续 。 

(2) 全 移动 方式 。 移 动 计算 终端 可 以 随意 移动 ,其 至 允许 以 很 高 的 速度 大 范围 移动 。 
实现 完全 的 移动 计算 ,需要 无 线 通信 网 络 的 全 覆盖 、 信 道 层面 的 无 颖 切换 、 高 层 协议 迎 辑 连 
接 的 平滑 过 渡 。 采 用 移动 通信 网 络 可 以 满足 前 两 个 条 件 , 而 网 络 协议 需要 进行 相应 的 配合 。 

移动 计算 终端 类 型 很 多 ,如 笔记 本 电脑 平板 电脑 、 手 机 (尤其 是 智能 手机 )、PDA、 上 网 
本 ,电子 阅读 器 等 。 主 流 的 移动 计算 操作 系统 有 Apple 的 i0S、Google 的 Android 和 MS 的 
Windows 系列 ,其 中 Android 的 开放 性 最 好 。 

移动 计算 与 云 计算 技术 有 非常 密切 的 .相互 依 存 的 关系 。 移 动 计算 终端 一 般 不 具有 人 台 
式 计算 机 的 超 高 性 能 ,而 是 一 种 轻 计算 模式 ,属于 瘦 客 户 端 类 型 ,所 以 需要 依赖 网 络 ( 后 台 ) 
的 强大 计算 能 力 。 云 计算 平台 正 具有 这 种 能 力 。 反 过 来 , 云 计算 平台 的 运算 资源 ,应 用 资 
源 、 内 容 资源 和 存储 资源 ,需要 通过 综合 的 、 交 释 的 、 充 分 的 、 全 时 的 使 用 才能 发 挥 出 潜在 的 
价值 。 移 动 计算 终端 正 是 这 些 资源 最 佳 的 使 用 者 。 

移动 计算 可 以 支持 所 有 Internet 应 用 ,其 特色 应 用 是 基于 位 置 的 服务 。 如 果 要 提供 个 
性 化 的 信息 服务 ,除了 依据 身份 信息 、 兴 趣 爱 好 、 作 息 时 间 、 上 网 行为 等 因素 外 ,移动 计算 又 
增添 了 所 在 位 置 这 个 重要 的 参量 。 而 且 , 移 动 计 算 可 以 让 使 用 者 摆脱 时 间 和 空间 的 束缚 。 
可 以 说 ,移动 计算 的 优势 是 其 能 够 最 接近 信息 化 的 5A 理想 : 任何 人 (Anybody) .于 任何 时 
候 (Anytime) ,在 任何 地 方 (Anywhere) 用 任何 方式 (Anyway) 能 做 任何 事情 (Anything) 。 


18.3:2 LBS 


基于 位 置 的 服务 (Location Based Service,LBS) 是 移动 计算 中 较为 重要 和 较 有 特色 的 
应 用 。LBS 的 基础 是 位 置 , 即 地 理 位 置 ,包括 经 度 .纬度 .高度 信 息 , 有 时 也 需要 时 间 和 速度 
信息 。 位 置 有 准确 和 粗放 之 分 ,可 以 精确 到 数 米 ,也 可 大 致 描述 位 于 一 座 大 厦 、 一 个 街区 .一 
片区 域 乃 至 一 座 城市 ,不 同 的 应 用 需要 不 同 的 精确 度 , 但 除了 行车 导航 要 求 越 精 准 越 好 ,大 
部 分 应 用 其 实 并 不 需要 达到 很 高 的 要 求 。 

LBS 服务 种 类 很 多 。 例 如 , 当 移 动 终端 查询 城市 道路 交通 、 商 业 设 施 时 ,通过 用 户 当 前 
所 在 的 位 置 ,优先 提供 周边 的 信息 ; 当 用 户 出 门 在 外 使 用 移动 终端 时 ,如 果 正 值 午餐 或 晚餐 
时 间 , 则 可 主动 报告 附近 的 餐饮 店 分 布 ; 当 移 动 终端 通过 位 置信 息 发 现 用 户 已 经 到 达 另 一 
个 城市 或 另 一 个 国家 ,可 自动 显示 当地 的 时 间 、 当 地 的 天 气 预报 。 

获取 位 置信 息 的 方式 有 多 种 ,应 根据 移动 终端 配置 的 硬件 模块 和 不 同 的 网 络 应 用 来 选 
择 和 设计 。 
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(1) GPS 定位 精度 高 (可 达 数 米 以 内 ) 专业 性 强 , 但 存在 初次 定位 时 间 长 .运行 能 耗 大 、 
容易 被 建筑 物 遮挡 等 缺陷 ,无 法 在 室内 场所 使 用 ,通用 性 不 够 。 因 此 ,GPS 较 少 用 于 导航 以 
外 的 应 用 。 

(2) 2G/3G 移动 通信 系统 定位 是 通过 手机 与 接 人 基站 的 相对 位 置 来 确定 方位 (类 似 三 
角 定 位 原理 ) ,虽然 定位 精度 大 大 低 于 GPS, 信 号 易 受阻 挡 和 反射 的 影响 而 加 大 偏差 ,误差 
可 达 百 米 以 上 ,但 手机 (或 带 移动 通信 模块 的 其 他 手持 终端 ) 非 常 普 及 ,而 且 全 时 在 线 , 是 一 
种 比较 实用 的 低 精度 定位 方式 。 然 而 ,基站 定位 的 最 大 缺陷 是 必须 依赖 基站 所 属 的 运营 商 ， 
单 靠 手机 无 法 独立 完成 ,因为 手机 并 不 了 解 基站 所 处 的 经 纬度 信息 。 

(3) WiFi 定 位 方式 随 着 WLAN 技术 的 普及 而 变 得 越 来 越 有 吸引 力 。 几 乎 所 有 的 智能 
手机 ,平板 电脑 ,笔记 本 电脑 等 移动 终端 都 具备 WLAN 通信 接口 ,WLAN 基站 (俗称 WiFi 
热点 ) 遍 布 家庭 ,校园 ,办 公 室 和 城市 公共 场所 (无 线 城市 ) ,最 妙 的 是 绝 大 部 分 热点 都 是 免费 
的 。 而 一 个 WLAN-AP 的 有 效 覆盖 范围 为 数 十 米 , 则 根据 接 入 点 AP 的 SSID 检索 其 位 置 
信息 ,就 可 了 人 解 自己 身 在 何 处 ,精度 和 稳定 度 甚至 高 于 手机 基站 定位 。 缺 点 是 搜集 并 维护 所 
有 WiFi 热点 的 位 置信 息 是 繁重 而 艰难 的 任务 ,除了 当地 政府 有 能 力 承担 这 一 使 命 外 ,也 许 
只 有 Apple 和 Google 做 得 到 。 

(4) IP 地 址 定位 以 其 采集 信息 简单 .与 硬件 配置 和 接 人 方式 无 关 的 优势 而 具有 很 好 的 
实用 性 ,例如 新 闻 网 站 可 以 根据 用 户 的 IP 地 址 显示 更 多 该 用 户 所 在 省 份 和 城市 的 消息 。 
Internet 全 网 IP 地 址 的 分 布 情况 相对 固定 ,只 需 在 每 个 区 域 采样 少量 ISP 提供 用 户 接 入 的 
IP 地 址 , 即 可 推算 出 IP 地 址 网 段 和 地 理 位 置 的 关系 。 但 是 ,如 果 接 和 人 点 使 用 的 是 内 网 私有 
IP 地址 , 则 这 一 定位 方式 无 效 。 

(5) BT 或 NFC 交换 信息 定位 是 基于 互助 式 机 制 的 信息 共享 方式 。NFC 是 继 蓝 牙 
(BT) 之 后 出 现 的 近 距 离 ( 近 场 ) 无 线 通 信和 技术 (Near Field Communication) ,支持 用 户 终端 
间 点 对 点 的 数据 交换 。 如 果 持 有 移动 终端 的 人 群 中 有 一 人 掌握 了 当前 位 置信 息 , 则 可 以 通 
过 BT 或 NFC 将 信息 发 布 给 周边 人 群 。 这 一 方法 在 应 用 中 存在 的 问题 是 终端 互 连 需要 相 
互 认 证 (以 防止 非法 入 侵 ) ,而 且 需 要 相关 终端 都 开启 BT 或 NFC 功能 。 

关于 LBS 应 用 ,人 们 一 方面 对 其 个 性 化 .人 性 化 .精细 化 的 服务 津津 乐 道 , 另 一 方面 也 
对 隐私 保护 问题 心怀 疑虑 。 这 的 确 不 是 杞 人 忧 天 ,因为 位 置信 息 是 每 个 人 最 重要 的 私有 信 
息 之 一 ,如 果 被 人 恶意 利用 ,将 严重 侵害 人 身 权 利 。 

防范 位 置信 息 泄露 .降低 LBS 风险 是 信息 安全 的 重要 研究 内 容 之 一 。 网 络 服务 商 、 通 
信和 运营 商 的 自律 是 最 基本 的 要 求 ( 商 业 道德 层面 ), 从 技术 的 角度 看 ,应 避免 位 置信 息 与 身份 
信息 的 耦合 度 ,实施 原则 是 两 者 尽 可 能 不 进行 关联 计算 ,不 在 网 络 上 一 起 传输 。 

LBS 应 用 有 两 种 类 型 : 一 是 正 向 利用 位 置信 息 , 即 显示 终端 当前 所 在 的 地 理 位置 ( 如 导 
航 应 用 ); 二 是 逆向 利用 位 置信 息 , 即 根据 终端 所 处 的 方位 ,显示 周边 或 其 他 与 位 置 相关 的 
服务 信息 。 大 部 分 的 LBS 应 用 属于 第 二 类 。 


18.3.3 App 


当 我 们 讨论 信息 系统 的 访问 方式 时 ,通常 会 围绕 客户 机 /服务 器 (C/S) 模 型 和 浏览 器 / 
服务 器 (B/S) 模 型 ,然而 , 随 着 移动 计算 应 用 的 展开 ,尤其 是 以 iDOS 和 Android 为 平台 的 智 
能 移动 终端 的 普及 ,人 们 开始 接受 一 种 创新 的 网 络 应 用 方式 一 一 App。 
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App 是 客户 端 应 用 程序 (application) 的 简称 。App 在 技术 上 就 是 一 种 客户 机 软件 ,但 
比 传统 意义 的 客户 机 轻巧 .灵活 得 多 。 从 C/S 二 层 架 构 到 B/S 三 层 架 构 是 一 种 进步 。 

一 个 App 客户 端 软件 同样 面 对 服 务 端的 后 台 系 统 , 双 方 通过 网 络 直接 交换 数据 ,是 二 
层 架 构 模 式 ,但 与 C/S 相 比 具有 如 下 差别 。 

(1) App 的 服务 端 有 两 种 : 一 是 用 于 管理 下 载 的 软件 库 ( 例 如 AppStore), 二 是 用 于 服 
务 的 信息 源 。App 下 载 安装 成 功 后 ,定期 与 软件 库 交 换 信息 以 更 新 版 本 (自动 或 手动 ) ,应 
用 服务 则 由 信息 源 提 供 , 如 上 架 新 书 、 股 票 行情 .即时 消息 等 ,一 般 需 要 启动 App 后 才 从 服 
务 端 获 取信 息 。 

(2) App 可 以 不 依赖 信息 源 而 独立 存在 、 独 立 运行 ,如 计算 器 、 电 子 游戏 等 ; App 也 可 
以 同样 不 依赖 信息 源 而 相互 通信 ,与 其 他 计算 机 设备 通信 ,如 电子 名 片 交 换 、 照 片 打 印 等 。 

(3) App 具有 功能 单一 、 小 巧 灵活 的 特点 ,占用 很 少 的 资源 , 却 可 以 根据 自己 的 需要 下 
载 和 组 合 ,形成 个 性 化 程度 很 强 的 移动 计算 服务 体系 。 

(4) 同样 的 应 用 可 以 有 不 同 设计 ,不 同 实现 的 App, 形 成 选择 上 的 多 样 性 ,有 利于 发 挥 
设计 者 的 创造 力 ,满足 不 同 用 户 的 需求 。 

(5) App 的 信息 源 不 但 是 狭义 的 服务 端 系统 ,还 可 以 拓展 到 整个 Internet, 从 海量 知识 
库 中 获得 信息 和 服务 ; App 客户 端 软件 本 身 也 不 仅 利用 宿主 机 的 计算 能 力 , 还 可 以 利用 移 
动 计算 终端 的 所 有 传感器 信息 ,因此 可 以 设计 更 丰富 的 应 用 功能 。 

(6) App 是 一 种 实现 精准 营销 的 广告 载体 。 

采用 云 计算 平台 提供 的 标准 化 网 络 服务 组 件 , 基 于 移动 计算 终端 开发 丰富 的 App, 是 
新 一 代 网 络 信息 系统 的 构建 思路 。 
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